Nederland krijgt een paspoort voor op internet. Hoe gaat dat werken?

Stel je voor: je registreert je bij een goksite en daarbij moet je bewijzen dat je boven de achttien bent. Hoe doe je dat zonder allerlei gegevens te hoeven invullen? Dat zal moeten kunnen met een app waaraan de Nederlandse overheid werkt, maar er zijn ook kanttekeningen bij te plaatsen.

De komst van de app om te dienen als digitale variant van het paspoort is geen verrassing. Het stond al in het coalitieakkoord van het huidige Nederlandse kabinet en in een Kamerbrief van staatssecretaris Alexandra van Huffelen van Digitale Zaken kwam het ook al aan de orde. Het uitgangspunt is nu dat internetbedrijven te veel data verzamelen van gebruikers. Van Huffelen: "In EU-verband werken we daarom aan het creëren van een alternatief voor de bestaande data-economie, die nog te veel gebaseerd is op vergaande gegevensverzamelingen en -verwerkingen."

Dat komt voort uit Europese druk. De eiDAS-verordening uit 2014 regelde al dat Europese landen elkaars systemen voor digitale identiteit moesten gaan herkennen en laten samenwerken. Een voorgestelde wijziging daarvan regelt dat het per 2025 zover is.

Het Nederlandse systeem heeft voorlopig als naam NL Wallet gekregen. Het is het beste te vergelijken met DigiD, maar het moet op veel meer plekken bruikbaar zijn. De bedoeling is dus dat allerlei winkels, bedrijven en instanties het systeem gaan ondersteunen. Daarbij is het uitgangspunt dat gebruikers zelf hun data in beheer hebben en dat instanties, winkels en bedrijven zo min mogelijk data krijgen.

Zo hoeven autoverhuurders alleen te weten of klanten een geldig rijbewijs hebben en via NL Wallet kunnen ze dus alleen dat vragen. Goksites kunnen vragen of iemand boven de 18 is. De app van NL Wallet moet bovendien laten zien welke gegevens je gaat delen voordat hij die gegevens doorstuurt. De app vraagt ook nog om verificatie voordat hij gegevens deelt.

NL Wallet: goksite vraagt of je 18+ bent

Gebruikers kunnen kaarten met gegevens in de NL Wallet zetten, bijvoorbeeld een paspoort, rijbewijs, zorgverzekeringspas en meer. Vervolgens kunnen diensten die gegevens willen opvragen een QR-code genereren die de app kan uitlezen. In die QR-code staan gegevens van de dienst en welke gegevens ze willen hebben. Vervolgens kunnen gebruikers die gegevens uit hun pas ophalen, checken en daarna doorsturen.

Het toevoegen van kaarten gebeurt ongeveer zoals gebruikers een vaccinatie of positieve test konden toevoegen in CoronaCheck. Daarbij neemt de app contact op met de plek waar de gegevens staan, waarna je kunt inloggen en de gegevens kunt ophalen.

De planning is om de app eind volgend jaar uit te brengen, maar zelfs dan is hij beperkt in functionaliteit; niet alle diensten werken er dan mee. Zo zou het kunnen dat je dan wel een paspoort kunt toevoegen, maar geen rijbewijs of verzekeringspas. Die komen er dan in de tijd na de release bij.

De app zal niet alleen in de App Store en Play Store komen, maar ook op opensource-downloadwinkel F-Droid. Sterker nog, daar is de demo te installeren. Later komt er ook een desktopversie van NL Wallet, voor mensen die data willen doorgeven zonder een smartphone te hoeven gebruiken.

Technische achtergrond

De code van de demo-app is te vinden op GitHub. Net als CoronaCheck en CoronaMelder wordt de app door de Rijksoverheid grotendeels in de openheid gebouwd en krijgen mensen met verstand van zaken de mogelijkheid om bij te dragen en opmerkingen te plaatsen.

Op GitHub is te zien dat er versies komen voor iOS en Android. De ontwikkelaars waarschuwen wel dat het gaat om een demo en dat er geen werkende code onder de implementatie zit. Het gaat vooral om het testen van bepaalde technische aspecten van de code. De code van de demo-app is niet 'production quality', staat duidelijk in de readme.

De demo-app wordt gemaakt met behulp van Google Flutter. Dat is een manier om apps te bouwen aan de hand van een enkele codebase. Ook is Gradle in gebruik. Op GitHub wordt duidelijk dat de app vooralsnog alleen werkt in het Nederlands en Engels. Dat is uiteraard onvoldoende, want de Rijksoverheid wil dat de app zo inclusief mogelijk is en sommige mensen in Nederland hebben een andere taal als primaire taal.

De app is modulair opgebouwd. De interface geeft events door in de app aan een BLoC-laag. Samen vormen de interface en de BLoC-laag de UI-laag van de app. De domeinlaag eronder heeft de diverse usecases, zoals het opvragen van data van een rijbewijs of juist van een paspoort. De datalaag eronder bevat de repository's met informatie. Die halen data nu uit een nepdatabase, maar dat moet in de toekomst dus echt zijn.

Het scheiden van de lagen maakt het beter mogelijk om in de toekomst functies toe te voegen. Zo is het mogelijk om usecases uit te breiden met hergebruik van code zonder aan de UI-laag te hoeven komen. Bovendien maakt het testen makkelijker, want in de toekomst kan code uit de demo-app worden gebruikt in de app die zal uitkomen en daarbij is het alleen nodig om de datalaag aan te passen. Er is geen centrale opslag van gegevens; de gegevens over de kaarten in de Wallet komen van de individuele instanties en overheden, terwijl de verzamelde data alleen in de app van de gebruiker staat.

Kritiek en politieke spanning

Er is wel kritiek op het systeem voor NL Wallet en uiteraard meer algemeen op de eID, de Europese digitale identiteit. Die kritiek richt zich op het idee voor het systeem zelf, waarmee bedrijven dus door overheden en instanties gecontroleerde informatie kunnen opvragen. Twee hoogleraren zeiden tegen NU.nl dat het systeem de deur opent voor te veel vragen om identificatie. "Het is niet de bedoeling dat zij aan jou vragen hoe oud je bent als je een postpakket wilt versturen", zegt Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit Nijmegen.

Bart Jacobs, hoogleraar computerbeveiliging aan dezelfde universiteit, wijst er nog op dat opslag decentraal moet zijn en dat er een goed loket moet zijn voor klachten. "Bijvoorbeeld als een partij om meer persoonsgegevens vraagt dan nodig. Dat is volgens de AVG sowieso verboden, maar met zo'n app wordt het gevaar daarop wel groter."

Die kritiek is politiek niet aan dovemansoren gericht. Sterker nog, een meerderheid van de Tweede Kamer is het daarmee eens. Een motie van SP-Kamerlid Renske Leijten om niet in te stemmen met het EU-voorstel voor digitale identiteit is met krappe meerderheid aangenomen. Systemen van lidstaten hoeven namelijk niet verplicht open source te zijn en er komt ook geen expliciet verbod op het verhandelen van persoonsgegevens.

Het kabinet heeft ervoor gekozen om die motie niet uit te voeren, omdat het Nederland buitenspel zou zetten in de onderhandelingen. Van de regeringspartijen stemde de ChristenUnie voor de motie en dus tegen het eigen kabinetsbeleid. Als er een Europese verordening komt, zal Nederland die wel moeten invoeren, maar dit is nog geen gedane zaak. De demo van de Nederlandse app is er nu al, zodat de ontwikkeling niet pas hoeft te beginnen als die verordening er inderdaad komt.

Tot slot

Net als bij CoronaMelder en CoronaCheck is het vertrouwen in het systeem voor het digitale paspoort essentieel en het is dus niet zo gek dat de overheid deze app zoveel mogelijk in de openheid wil ontwikkelen. Het betekent dat iedereen kan meekijken naar de opzet en bedoeling van deze app.

Dit is pas het begin. In de politiek moet er nog een compromis komen over of en hoe dit Europese systeem er komt en hoe Nederland het dan zou willen implementeren. Het nut van deze app is duidelijk, maar de bezwaren ertegen zijn dat ook; we willen niet om de haverklap data hoeven af te geven en als je zo'n systeem maakt, moet dat zorgvuldig en privacyvriendelijk. Hoe dit verder zal gaan, is nu nog onduidelijk. Als het zover komt, kan dit een belangrijke app op je telefoon worden.

Reacties (347)

MicroWhale 15 december 2022 08:06

Ik ben een groot voorstander van digitalisering, maar dit zouden we niet moeten willen. Deze implementatie van Digitale identiteit is in mijn ogen de opmaat naar het bundelen ("de opzet is modulair") van al je identificatie-documenten (paspoort, rijbewijs, tenaamstelling, BKR, etc...). Dit kan leiden tot het besturen (lees: eenzijdig aanpassen) van je rechten vanuit die digitale identiteit. Ofwel: De Paarse Krokodil. Dat betekent dat overheden éénzijdig je identiteit aan kunnen passen én effectief kunnen maken met één klik.

Het eigenaarschap én gebruik van je Digitale identiteit zou bij het leidend voorwerp (jij) moeten liggen, zodat deze zelf kan bepalen wanneer en hoe deze gebruikt wordt. Daarnaast zouden de mutaties erop inzichtelijk, traceerbaar moeten zijn voor de eigenaar.
Nu is dat zo, omdat er bijvoorbeeld een NFC-chip in je paspoort zit en je er altijd bij bent als deze uitgelezen wordt. Je weet op dat moment waarvoor dat nodig is en welke gegevens waarvoor gebruikt worden (als je de kleine lettertjes leest).
Digitale Identiteit opent de weg voor iedereen om via een API een "Heeft deze persoon recht op" te gaan uitlezen. En op het moment dat de overheid beslist dat je dat niet hebt, is dat direct een feit. Nu zijn dat nog burgerrechten, maar bijvoorbeeld een vinkje voor 'toegang tot internet' of 'mag mobiel bellen' is zo gemaakt.

En op je reactie: "Alu hoedje! Wie zegt dat dat gaat gebeuren?" kan ik alleen maar zeggen: Ik hoop het niet. Ik heb toch wel wat implementaties van (overheids)systemen van dichtbij meegemaakt en heb gezien dat als er een mogelijkheid is, die eerdaags wordt gebruikt. Dat is de enige wet die nooit gebroken wordt.

Blokker_1999

Politiek en recht
Overheid
Nederland
Privacy

@MicroWhale • 15 december 2022 09:03

Dit moet je niet willen, en wat stel je dan voor als alternatief? Er zijn te veel bedrijven die vandaag identiteitscontrole moeten doen en daardoor net te veel informatie in handen krijgen. Mag je een kopie van je identiteitsbewijs doorsturen en gaan ze lopen klagen als jij er een watermerk overgooit of gegevens die zij niet moeten hebben afplakt.

Dat is het probleem dat men hier hoopt op te lossen. Veilige digitale verzending van enkel die gegevens die strikt noodzakelijk zijn.

Het gevaar dat jij ziet is perfect mogelijk bij elke andere vorm van identificatie. Uiteindlijk bevat je document vooral een identificatienummer van wie jij bent. Dat kan men ten allen tijde gaan verifieren met een API. En denk je echt dat als een overheid mensen rechten wenst af te nemen dat dan geen weg rond een papieren bewijs gaan maken?

Jerie

@Blokker_1999 • 15 december 2022 10:15

Kijk eens naar IRMA. Die infra is dan van een derde partij. M.i. moet infrastructuur van de overheid zijn, en een digitaal platform voor authenticatie is daar bij uitstek ideaal voor. Het gaat een kassamedewerker (digitaal of fysiek) niets aan wat mijn naam is, waar ik woon, wat mijn leeftijd is. Ze hoeven alleen maar te weten dat ik 18+ ben op het moment dat ik alcohol probeer aan te schaffen. Als ik bij een coffeeshop kom idem. Sterker nog, het laatste voorbeeld wil ik niet eens mijn persoonlijke data mee delen want de kans dat het verweven is met criminaliteit is me te hoog (al gebruik ik persoonlijk geen alcohol/drugs). En daar zit natuurlijk een stukje wantrouwen jegens overheid: niet iedereen die wel eens marihuana koopt wil bekend zijn bij de overheid als zijnde. Maar anders is het de third party die verantwoordelijk is. Die is misschien in dit geval zuiver, maar in de toekomst weet je dat niet. Dat moeten we in ieder geval op z'n minst in de gaten houden.

J_van_Ekris @Jerie • 15 december 2022 12:37

En daar zit natuurlijk een stukje wantrouwen jegens overheid: niet iedereen die wel eens marihuana koopt wil bekend zijn bij de overheid als zijnde. Maar anders is het de third party die verantwoordelijk is. Die is misschien in dit geval zuiver, maar in de toekomst weet je dat niet. Dat moeten we in ieder geval op z'n minst in de gaten houden.

Maar daar zit naar mijn mening ook het grote voordeel van IRMA-achtige aanpak. Je toont digitaal met een app aan dat het "Vinkje" 18+ gezet mag worden, en de betrouwbaarheid van dat dataelement komt voort uit een digitale handtekening die er overheen gezet is. Zolang de overheid die handtekening in zijn algemeenheid zet voor grote groepen burgers (dus niet een persoonsgebonden handtekening per burger) controleert zo'n coffeeshop alleen of de handtekening klopt door de geldighheid van een vrij algemeen PKI-overheid certificaat te controleren. Maar niemand hoeft in die hele keten te weten welke burger daadwerkelijk gecontroleerd wordt. Men stelt dan alleen maar vast dat de bewering "Ik ben boven de 18" door een vertrouwde partij gesteund wordt.

Als men het goed implementeert, kan dit privacy verhogend werken: bedenk dat nu iedereen die een controle op 18+ doet, nu op zijn minst je volledige geboortedatum te zien krijgt. En waarschijnlijk deel inderdaad ongemerkt veel meer zoals je naam en zelfs je BSN.

En besef dat dit niet de overheid moet zijn. IRMA had meerdere partijen in zijn assortiment die op verschillende veiligheidsniveaus uitspraken deden. Zo kan de uitspraak "Ik ben boven de 18" bevestigd worden door de GBA, maar ook door de RDW (rijbewijs) maar ook door DUO en een bank. Dus in zekere zin zou het het monopolie op bepaalde uitspraken juist kunnen doorbreken (even de achterliggende infrastructuur die door de overheid gerund wordt negerend).

Superstoned @J_van_Ekris • 24 december 2022 12:52

Dat denk ik dus ook - dit lijkt me eerder een stap vooruit voor privacy. Bij een hotel maken ze een kopie van je paspoort, bij het huren van een auto moet je allemaal gegevens overhandigen die ze niet nodig hebben… dat kan beter en de aanpak van deze app ziet er goed uit.

Anoniem: 383370 @Jerie • 16 december 2022 20:02

Allemaal leuk en aardig, maar tot ze het gaan programmeren.

Geen vaccin, niet naar het restaurant.
Uitkering? Geen koekjes voor jou.
Al een keer alcohol gekocht deze week?helaas.
Etc,etc

China 2.0 in the making

unreal0 @Anoniem: 383370 • 18 december 2022 10:11

Je moet ze de macht inderdaad niet geven. Vroeg of laat gaat het misbruikt worden

nwolsink @Anoniem: 383370 • 18 december 2022 12:28

we staan aan het begin van een digitale gevangenis, Digitaal ID, Digitale Euro, CO2 budget. Dat is zeker niet in ons belang...

jimh307 @Anoniem: 383370 • 23 december 2022 19:00

Je uitspraken zijn cru, maar ik ben het wel met je eens. Ik heb al moeite met mijn EPD en ik heb moeite dat de AH bonuskaart ook registreert wat ik koop.

Sterker nog; ik hou bewust mijn abonnementen laag want des te minder ze over je weten. Het gaat niemand een pest aan wat ik doe en al koop ik 20 flessen jenever per week of wat dan ook; het gaat ze niks aan.

Natuurlijk weet iedere burger dat hij/zij zich correct moeten gedragen en als je fout gaat krijg je je omgeving over je heen en daar is géén staat voor nodig. Soms zet ik mijn phone op vliegtuigmode omdat de provider niet alles hoeft te weten van waar ik sta. En nee, geen illigale dingen, hoor

Principekwestie.

Net zoiets als bemoeizorg voor (kansloze verslaafden) om hem te helpen, maar ik hoeverre mag je je bemoeien met een ander? Waar ligt die grens? Wat doet AVG?

We hebben hier te maken met een uiterst complexe materie. Je kunt niet met 3 zinnen je statement maken want deze grappen krijgen een naar bijstaartje.

wizzkizz @Jerie • 15 december 2022 12:39

In theorie is het mogelijk dat dit systeem volledig offline werkt of kan werken. En dat zal vast in het begin ook wel zo zijn.

Maar eenmaal ingeburgerd is het een kleine stap dat de verifiërende partij de "betrouwbaarheid van de gegevens" of de actuele status via een API moet opvragen. En dan ligt het zomaar op straat bij de overheid dat jij die softdrugs hebt gekocht. En wie weet wat dat met hun algoritmes gaat doen.

De medewerker die jouw ID controleert als je in de twijfel leeftijd valt, is twee seconden later jouw gegevens al weer vergeten. Maar de computer database vergeet niet...

J_van_Ekris @wizzkizz • 15 december 2022 13:35

De medewerker die jouw ID controleert als je in de twijfel leeftijd valt, is twee seconden later jouw gegevens al weer vergeten. Maar de computer database vergeet niet...

Als er alleen het attribuut "was boven de 18 = true" door de app wordt gedeeld, zal me dat een rotzorg zijn.

Nu zwerven er overal persoonsgegevens rond voor het geval mensen zich mogelijk misdragen. Bij autoverhuur en bij hotelkamers wordt nog regelmatig even een kopie van een paspoort of rijbewijs getrokken. Je moet maar hopen dat na inleveren van de sleutels zo'n kopie fatsoenlijk wordt vernietigd.

wizzkizz @J_van_Ekris • 15 december 2022 16:21

In een offline setting, dan ben ik het met je eens.

Maar als de coffeeshop een API verzoek moet doen om te controleren of dat inderdaad nog geldig is, dan wordt dus opgeslagen dat coffeeshop x een verzoek heeft gedaan om te controleren of <naam> inderdaad attribuut 18+ = true heeft.

En dat wil je mogelijk niet, want er is niet te voorspellen wat de overheid op een later moment met die info doet. De opinie over (soft)drugs gebruik is nogal aan verandering onderhevig zeg maar. En in een alternative credit score mechanisme kan dat zo maar tegen je gebruikt worden.

J_van_Ekris @wizzkizz • 15 december 2022 16:44

Maar als de coffeeshop een API verzoek moet doen om te controleren of dat inderdaad nog geldig is, dan wordt dus opgeslagen dat coffeeshop x een verzoek heeft gedaan om te controleren of <naam> inderdaad attribuut 18+ = true heeft.

Er is geen noodzaak om <Naam> te delen om ook maar iets te controleren. Je kunt aan een burger attributen verstrekken met een digitale handtekening, waarbij om de geldigheid te controleren alleen maar gecontroleerd hoeft te worden of die handtekening geldig is. En zoals je op de screenshots in het artikel kunt zien, bij de goksite, is dat er enkel en alleen de "Is 18+" data die gedeeld wordt. Je moet immers, net als bij IRMA, expliciet aangeven wat je wel en niet deelt. Dus zolang jij die naam niet deelt, en die handtekening niet naar een specifieke burger terug is te leiden (dus de overheid mag geen individuele sleutels voor individuele burgers gebruiken) kunnen zij niets registreren. Dat is het hele idee achter dit soort zaken.

Ik denk overigens dat je als overheid niet anders kunt dan zo werken. Vanuit de AVG moet je werken met "Privacy by Design" en moet je elke vorm van datavergaring expliciet vooraf bij wet regelen. Dus in Europa moet dit overal zo organiseerd worden. Ook moet je een DPIA doen en de vraag beantwoorden of er geen privacy-vriendelijkere oplossing wordt toegepast, waarbij je dus al snel gelijkwaardig of beter moet zijn aan het Paspoort en Rijbewijs om dit rond te krijgen. Dus het is zeker niet zo dat men maar lekker kan gaan datagraaien.

wizzkizz @J_van_Ekris • 15 december 2022 16:55

Over het eerste deel verschillen we niet van mening, zo gaat het vast in het begin ook werken. Maar jij lijkt de overheid veel meer credit te geven dan ik dat wil doen.

Ik acht een overheid die bij wet regelt dat elke betaling van 100+ euro in een centrale database moet worden opgeslagen prima in staat om ook te vereisen dat er een online component komt die de overheid in staat stelt het door mij geschetste scenario uit te voeren.

Het is niet nodig, maar omdat het technisch eenvoudig kan (zonder de wallet aan te passen, alleen de controlerende applicatie) gaat het vroeger of later gebeuren. Netjes vastgelegd in een wet dat dit verplicht stelt, uiteraard.

danielvn @Jerie • 15 december 2022 16:46

Kijk eens naar IRMA. Die infra is dan van een derde partij.

Dit vind ik zeer groot nadeel, want we hebben het hier over een centrale partijen. Eén partij die bepaalt en macht creeert. Verder zijn we op zoek naar een globale oplossing. Een toevoeging aan het "internet model" lijkt logisch. Een open protocol die we als standaard definieren, self-sovereign identity (SSI) d.m.v. decentrale identifiers (DiD) op Bitcoin. Laat die er nu zijn en door de W3C omarmt. Waar is europa mee bezig?

Jerie

@danielvn • 15 december 2022 16:52

Bij een blockchain kun je de informatie niet terugtrekken, dat is een nadeel. Verder heb je last van legacy data, en iedereen moet steeds syncen (het werkt niet offline). Dan heb ik liever een organisatie die te vertrouwen is. Dat zou dan de overheid moeten zijn, of een organisatie die de overheid heeft aangesteld (zoals bijvoorbeeld SIDN).

danielvn @Jerie • 15 december 2022 17:07

Dit is een misvatting die ik vaak hoor. Op de blockchain komt geen informatie te staan. In het kort, de blockchain bevat alleen informatie waarmee bevestigd kan worden wat je beweerd waar (geattesteerd) is. Je informatie wordt bijgehouden in je persoonlijke wallet. Het is een nogal complex verhaal maar waard om te onderzoeken en te doorgronden.

Een organisatie heeft tal van nadelen. Denk aan overheden of de Googles onderons. SSI gaat straks alles omvatten deze informatie is zeer waardevol en geef ik niet graag in handen aan een centrale partij. Daarbij is het dan ook een enorme honeypot voor hackers.

Jerie

@danielvn • 15 december 2022 17:18

Het enige dat de organisatie hoeft te doen bij decentrale opslag is een autoriteit te zijn. Ik zie niet in waarom de overheid dat zelf niet kan of mag doen.

Verder kan een blockchain gemanipuleerd worden door derden.

Een organisatie dient zich aan de wet te houden, en de wet wordt door de overheid in stand gehouden.

De honeypot is er allang, dat is de smartphone. Als je daar root op hebt, is het bingo.

danielvn @Jerie • 16 december 2022 09:27

Ik zie niet in waarom de overheid dat zelf niet kan of mag

Vraag dat eens aan burgers in niet democratische landen. We zijn al op weg naar een surveilance staat met de toename op toezicht.

Verder kan een blockchain gemanipuleerd worden door derden.

Nee, dit is juist het bestaansrecht van een blockchain. Hij moet wel eigenschappen bezitten zoals, decentraal, censorship-resistant, transparant, immutable, borderless, geen eigenaar.

De honeypot is er allang, dat is de smartphone. Als je daar root op hebt, is het bingo.

Dat is de kracht van decentraal vs centraal. Één telefoon vs één allesomvattende database.

[Reactie gewijzigd door danielvn op 23 juli 2024 00:28]

sprankel @danielvn • 16 december 2022 13:45

Het enigste wat in je wallet zit is een private key, hoeveel er in je wallet zit, welke transacties jij gedaan hebt en naar waar je transfers gedaan hebt staat allemaal in de blockchain, er zijn genoeg websites waar die info op te vragen is voor gelijk welke wallet. Het enigste wat je niet weet is welke wallet van wie is maar de enigste reden daarvoor is dat je compleet anoniem een wallet aanmaakt.

Heel het blockchain idee komt net voort uit het idee we vertrouwen niemand waarbij het netwerk continu alle info uit de blockchain controlleerd. Als je de info uit de blockchain haalt valt er niets meer te controleren.

denan @danielvn • 16 december 2022 11:09

IRMA heeft 2 centrale componenten:
- De scheme waarin staat wat de trusted issuers zijn (inclusief de publieke sleutels)
- De keyshare server die de PIN van de user opslaat

Het eerste is nodig om een single source of truth te hebben. Men is aan het kijken of daar ook gedistribueerde varianten voor in te zetten zijn. Maar iemand zal altijd die lijst moeten beheren. Als het groter wordt komt daar vast een soortgelijke setup als bij CA's.

Het tweede deel is nodig voor eIDAS "hoog" en het binden van de gebruiker aan zijn / haar mobiele device en maakt geen deel uit van de transactie.

danielvn @denan • 16 december 2022 11:45

Dat is prima en zelfs een must dat er providers ontstaan die een dienst creëren rond een behoefte. Maar het mag in mijn ogen niet zo zijn dat een centrale partij een mechanisme/protocol toe-eigen wat gezien kan worden als globale infrastructuur. Stel je voor dat tcp/ip eigendom was geweest van IBM. Was van netneutraliteit weinig over geweest.

denan @danielvn • 16 december 2022 13:12

Ik zie niet echt hoe IRMA zich een protocol toe-eigent.. zeker niet aangezien alles open source is en iedereen zijn/haar eigen fork kan draaien

frank-wessels @Jerie • 15 december 2022 12:38

Dit heeft zeker mijn voorkeur.

Macshack @Blokker_1999 • 15 december 2022 09:49

Waarvoor moet een alternatief gevonden worden dan? Welk probleem moet er opgelost worden volgens jou dat we moeten grijpen naar dit soort middelen?

japie06 @Macshack • 15 december 2022 11:46

Het probleem is dat voor zaken waarvoor je een identiteitsbewijs nodig hebt (bijvoorbeeld een auto huren) te veel persoonsgegevens overhandigd. Met dit portaal (à la DigiD) hoeft een autoverhuurbedrijf alleen maar op te vragen of de persoon een geldig autorijbewijs heeft. Nu worden vaak gewoon nog kopietjes gemaakt van het rijbewijs met geboortedatum, geslacht en soms ook het Burgerservicenummer. Dat soort gegevens heeft dat bedrijf helemaal niet nodig.

Rob Coops

Overheid

@japie06 • 15 december 2022 13:53

Laten we eens kijken naar de voor en nadelen van het nieuwe systeem.

Voordelen:
Het is heel veel makkelijker voor bedrijven om alleen de informatie op te vragen die ze nodig hebben
Het is veel handiger voor de persoon die bijvoorbeeld een auto wil huren om zich te identificeren

Nadelen:
Het is veel handiger voor bedrijven om veel meer op te vragen dan nodig is
Voor de persoon die zijn/haar digitale identiteit overhandigd is het zeker op dat moment niet mogelijk uit te vogelen welke data een bedrijf heeft opgevraagd
Voor een overheid is het kinderlijk eenvoudig om een persoon tot tweederangs burger te maken

Zeker het laatste nadeel is een heel erg groot probleem, natuurlijk vertrouwen we allemaal de overheid tot we er achter komen dat dat misplaatst vertrouwen was en dan is het te laat. Of het nu gaat om een overheid die kinderen rooft, mensen het label fraudeur op plakt of besluit omdat welke reden dan ook het identiteitsbewijs ongeldig te verklaren het is te laat om je vertrouwen in die overheid op te zeggen op het moment dat dat eenmaal gebeurt is.
Nu kun je roepen ja maar in een democratie daar worden geen kinderen geroofd door de overheid... nou ja bijna nooit. En zo maar zonder enige rede iemand van fraude beschuldigen en dan liegen in de rechtbank dat zou de overheid nooit doen... oh ok nou ja gelukkig worden de schuldige wel bestraf.. laat maar. Gelukkig is het wel heel zeldzaam en gebeurt dat alleen bij andere mensen dus dan maakt het mij niet uit. JE identiteitsbewijs afnemen dat is zeer onwaarschijnlijk gelukkig is de overheid niet steeds bezig omdat makkelijker te maken en bijvoorbeeld mensen hun identiteitsbewijs af te nemen als ze een (studie)schuld niet betalen... oh nou ja ok maar die mensen zijn slecht en zo dus zij verdienen het.

Het probleem met zo'n systeem is dat het steeds makkelijker wordt voor een hele kleine groep mensen om zeer veel mensen om welke reden dan ook het leven praktisch onmogelijk te maken. Denk je maar eens in je woont in een land ver weg. Hebt ooit een keer een kleine schuld niet betaald moet je om welke reden dan ook identificeren in het land waar je woont... dat kan niet daar gaat die baan omdat je geen verklaring van goed gedrag kunt over legen of dat huwelijk gaat niet door omdat je ID niet meer geldig is. Natuurlijk wist je dat niet als de overheid in NL wist waar je was hadden ze je gevraagd te betalen en had je dat natuurlijk ook gewoon gedaan. Maar men weet niet waar je nu bent dus men pakt je op die manier aan. Helaas kan dat extreme persoonlijke gevolgen hebben zelfs op de lange termijn. Dit is wat een democratische rechtsstaat als Nederland graag wil kunnen doen.

Het probleem is dat als die om een paar rot centen kan gebeuren waarom dan niet om een andere reden? Misschien omdat de overheid je verdenkt van misdaden maar je niet weet op te sporen omdat je naar het buitenland bent gevlucht, dat is een goede reden toch? Niet volgens de Nederlandse wet maar die kan redelijk eenvoudig worden aangepakt. Een volgende stap, misschien een terrorist of een andere joker die men graag speelt een kindermisbruiker... en voor je het weet wordt de lat weer wat lager gelegd en zijn het mensen die weigeren een vaccin te nemen bij een volgende pandemie... En dan de volgende groep fraudeurs en daarna die hele vervelende anders denkende ook maar doen.

Natuurlijk zijn er goede redenen te noemen om dit soort dingen te doen maar er zijn ook zeer veel veel betere redenen om dit echt niet te willen. Gemak is een ding maar het gemak voor de burger levert de overheid heel erg schrikbarend veel meer macht op en dat is een zeer groot probleem.

swhnld

Smartphones

@Rob Coops • 15 december 2022 14:25

Nadelen:
Het is veel handiger voor bedrijven om veel meer op te vragen dan nodig is
Voor de persoon die zijn/haar digitale identiteit overhandigd is het zeker op dat moment niet mogelijk uit te vogelen welke data een bedrijf heeft opgevraagd
Voor een overheid is het kinderlijk eenvoudig om een persoon tot tweederangs burger te maken

Mooi betoog, maar de nadelen die je ziet zijn er maar deels:

1. Te veel data opvragen zit gedekt in de AVG wetgeving, inclusief boetes. overigens zie ik dit ook als risico wat pas na een aantal fixe boetes tot beter gedrag zal gaan leiden maar initieel fout zal gaan.
2. Uit het artikel: Vervolgens kunnen gebruikers die gegevens uit hun pas ophalen, checken en daarna doorsturen. Dus je weet juist wel op dat moment welke data opgevraagd wordt.
3. Hoeveel makkelijker is het iemand een 2derangs burger te maken t.o.v. nu? Alles is nu ook al gelinkt aan je BSN, alleen zie je niet wat daar onder water opgehaald wordt via API koppelingen nu, en met deze oplossing moet je daar toestemming voor geven wat je deelt op het moment dat je het deelt.

Overigens voor mij zou het mooiste aan deze oplossing zijn dat ik mijn identiteitsbewijs op mijn telefoon kan hebben, dus naast de telefoon niets meer mee hoef te nemen. De telefoon heeft dan de functie van mijn portemonnee helemaal overgenomen (pasjes, geld, familie foto's, bonnetjes bewaren).
Maar je kunt ook nog wel ervoor kiezen om een portemonnee met alles te gebruiken. Er komt immers ook een desktopversie voor mensen zonder telefoon, dus met identificatieplicht in de wet betekend dat ook gewoon nog je papieren identiteit bij je kunnen hebben.

mikedhanpat @swhnld • 15 december 2022 21:52

Is het niet heel naief bij je tweede punt om te denken dat iedereen dat gaat controleren? Zeker als je straks dit onding voor alles en nog wat moet gaan gebruiken, zal het in de praktijk vaak hetzelfde gaan zoals het accepteren van algemene voorwaarden of privacy policy... ja ja zal wel klik klik klaar en door.

Voor wat betreft je derde punt zie ik het toch echt somberder in. Het opent de weg naar zoveel meer controle en bemoeizucht waarbij je je blik maar even naar het verre oosten hoeft te richten wat in potentie mogelijk is. Koppel het met een [naam volgend virus]app, hang er een CO2 budget aan vast, match het kopen van dat pakje peuken of kratje pils met je zorgverzekering, inloggen met je eID bij game X voor leeftijdscontrole of hang er een tijdslimiet aan voor jeugdige gebruikers.

Het wordt gepresenteerd als dé oplossing voor de burger dat er niet onnodig gegevens verstrekt worden, met als gevolg dat de meerderheid geen bezwaar heeft en denkt geholpen te worden en er dankbaar gebruik van maakt. Echter, dit probleem wordt mijnsinziens door de AVG ondervangen alleen is daar een te lage pakkans/risico bij overtreding dat de hele AVG aan effectiviteit inboet.

Maar als een meerderheid het heeft geïnstalleerd en gebruikt dan vrees ik dat de verleiding o zo groot wordt om het water in de pan telkens een graadje hoger te laten worden, zonder dat je eruit springt.

Barsonax @mikedhanpat • 16 december 2022 07:42

Voor wat betreft je derde punt zie ik het toch echt somberder in. Het opent de weg naar zoveel meer controle en bemoeizucht waarbij je je blik maar even naar het verre oosten hoeft te richten wat in potentie mogelijk is. Koppel het met een [naam volgend virus]app, hang er een CO2 budget aan vast, match het kopen van dat pakje peuken of kratje pils met je zorgverzekering, inloggen met je eID bij game X voor leeftijdscontrole of hang er een tijdslimiet aan voor jeugdige gebruikers.

Hier verzin je allerlei problemen die er helemaal niet zijn. Dit gaan ze niet doen.

Daarbij als ze dit echt willen kan dat nu ook al. Daar heb je dit gewoon niet voor nodig.

mikedhanpat @Barsonax • 16 december 2022 09:04

Noem mij pessimistisch, maar het aantal keren waarop onze eigen overheid de laatste jaren excuses heeft gemaakt omdat ze dingen deden die ze eigenlijk niet zouden doen stemt weinig hoopvol.

En ja, de geschetste problemen zijn er nu nog niet maar had je in 2019 gezegd dat we binnen een paar maanden enkel nog ergens binnen konden komen met een QR code dan werd je ook doorverwezen naar de GGZ.

De Rabobank heeft al een proefballonnetje opgelaten dat je je CO2 impact kunt zien aan de hand van je betaaltransacties. Is het zo vergezocht dat straks je eID verplicht wordt om in te loggen bij je bank app en dat proefballonnetje van opt-in naar opt-out naar verplicht gaat?

En dat als ze echt willen dit nu ook kan geloof ik graag, maar dat moet toch niet de reden zijn om te zeggen: Je kunt het nu met veel moeite ook al, dus we maken het maar een stuk makkelijker voor je om te doen.

Barsonax @mikedhanpat • 16 december 2022 12:10

Wat je nu allemaal zegt staat echt helemaal los van eID. Dat kunnen ze nu ook mochten ze dat willen.

Of denk je nou echt dat ze zonder eID niet je uitgaven kunnen koppelen aan je CO2 uitstoot? Alle gegevens zijn er al.

Nogmaals haal zaken niet door elkaar heen.

eID gaat juist problemen oplossen/verminderen zoals identiteitsfraude. Al die hotels die zo graag een kopie van je paspoort willen bijv, die vertrouw je nu wel dan ofzo?

timonb @mikedhanpat • 16 december 2022 09:47

Deze digitale oplossing is niets anders dan de vervanging van je papieren paspoort.

Nu kom je bij een hotel en het eerste wat je doet is jouw paspoort overhandigen, zodat ze een kopie kunnen maken…

De meesten hier gebruiken toch ook digitale app voor het bankieren? Of een bankpas om een betaling mee te doen in plaats van papiergeld? Of nog erger een app op je telefoon waarmee je betaalt…

Het lijkt wel of dit forum bevolkt wordt door 80 jarigen die bang zijn voor verandering en niet de tech adepts…

Amadeus1966 @timonb • 17 december 2022 15:51

A, wat de leeftijd er mee te maken heeft ontgaat mij.
Oud afdoen alszijnde niet met de tijd mee willen gaan is hetzelfde als je tegen het asielbeleid bent en als antwoord krijgt van ow dan ben je rassist.

B, een gezond stukje wantrouwen richting de overheid is niet verkeerd.

Zbs
Belastingdienst, gemakkelijker kunnen we het niet maken, ondertussen zijn er legio kinderen uit huis geplaatst, onroerend goederen onder de hamer verdwenen.

Je kan ook te naïef zijn.

RobinF @swhnld • 15 december 2022 19:42

Maar 1. Is nu ook al het geval.

Artz @Rob Coops • 16 december 2022 09:10

Van zouden kunnen tot dat gaan ze doen in 3 alinea’s. Er klinkt vanuit je verhaal vooral een persoonlijke ervaring die je extrapoleert naar de gehele bevolking.

Je zit in het buitenland en hebt een kleine schuld niet betaald? Dat klinkt al heel vreemd. 😄

Macshack @japie06 • 15 december 2022 20:01

Ik ben niet overtuigd. Je kunt dit ook op een hele andere manier oplossen. En zijn dit problemen die consumenten hebben met verhuurbedrijven of heeft de overheid een probleem gevonden die ze willen gebruiken om hun burgers beter in de gaten te kunnen houden?

Als een hotelketen, bij mijn reservering, mijn adres wilt weten. Kan ik zelf wel vragen of het ook zonder mijn adres kan. Zo niet kan ik altijd nog beslissen om een "verkeerd" adres op te geven.

Dit is een transactie tussen een individu en een commerciële entiteit. Dit heeft niks met de overheid te maken.

Ludewig @Blokker_1999 • 15 december 2022 09:43

Het probleem wordt voor een groot deel veroorzaakt doordat de overheid een ongebreidelde controle en reguleringsdrift heeft. Er zijn daardoor steeds meer wettelijke verplichtingen om gegevens te verzamelen op basis van identiteit en het controleren van de identiteit. Het opnemen van 100 euro geldt nu al als verdacht en moet door de banken gemeld worden aan de overheid, waardoor de overheid bij veel mensen zelfs kan volgen wanneer ze naar de supermarkt gaan.

Dit terwijl de overheid keer op keer bewijst dat ze zelfs bij het OM cruciale gegevens niet geheim kunnen houden en geen boodschap hebben aan de rechtsstaat (zoals onschuldig tot het tegendeel bewezen is, bij de belastingdienst).

Bovendien is er sprake van grove privacyinbreuken en het praktisch gezien vrijwel onmogelijk maken van legaal en soms zelfs wenselijk gedrag, door een gigantische bureaucratische bewijsplicht. Zo moeten vrijwilligersorganisaties nu veel meer informatie aanleveren, moeten de bestuurders verplicht cursussen volgen en kunnen de persoonlijke financiën van bestuurders tegen het licht worden gehouden, op een absurde manier (waarbij men gevraagd wordt kleine incidentele uitgaven te verantwoorden, wat volstrekt onredelijk is in de strijd tegen witwassen en terrorisme). We hebben ook al gezien dat banken gewoon maar ophouden met het geven van een bankrekening aan vrijwilligersorganisaties die volstrekt legaal bezig zijn en hun uiterste best doen om aan de absurde eisen te voldoen.

Dit paspoort faciliteert deze ongebreidelde drang alleen maar. Voor je het weet zijn we net als China. Het gaat zeker die kant op.

[Reactie gewijzigd door Ludewig op 23 juli 2024 00:28]

DdeM @Ludewig • 15 december 2022 12:12

Hoe kom je er bij dat het opnemen van 100 euro geld als verdacht? Heb je daar een bron voor, want het beste wat ik kan vinden is dat ze "ongebruikelijke" transacties moeten melden (bij de overheid) én controleren (bij de rekeninghouder). https://www.consumentenbo...roleren-witwassen-privacy https://www.fiu-nederland.nl/nl/Meldergroepen

[Reactie gewijzigd door DdeM op 23 juli 2024 00:28]

Ludewig @DdeM • 15 december 2022 12:20

https://nos.nl/artikel/24...itoren-kamer-heeft-vragen

DdeM @Ludewig • 15 december 2022 12:38

Dat artikel zegt niets over een meldplicht, alleen dat de banken het gezamelijk zouden moeten kunnen monitoren. Als ik het zo lees, zonder het daadwerkelijke wetsvoorstel te zien, is het dus nog steeds zo dat ze alleen ongebruikelijke transacties moeten melden, net zoals dat nu ook al is. En daarvoor geld nu onder de subjectieve indicator ook al geen minimum bedrag.

frice @Ludewig • 15 december 2022 12:45

In dat artikel staat dat banken hun slimme anti-witwas algoritmes mogen loslaten op alle transacties vanaf 100 Euro (bij zakelijk nog lager). Jij interpreteert het zo dat alle transacties die door die algoritmes worden gecontroleerd automatisch verdacht zijn (wat het algoritme reduceert tot transactie => verdacht).

Er is best reden de overheid te controleren in hun taken, zeker als het om privacy gaat. Maar het is volgens mij goed dat er nu in alle openheid geprobeerd wordt een beter alternatief te bieden voor het opsturen van kopietjes van paspoorten e.d.

ocf81 @Ludewig • 15 december 2022 13:37

Helemaal mee eens, met de toevoeging dat het creëren van de mogelijkheid ook het gebruik ervan met vervelende gevolgen totaal niet belemmerd.

Er is in de eIDAS regels nauwelijks iets opgenomen om de burger controle te geven en voorgestelde wetgeving laat ook weinig mogelijkheden om de inhoud van zijn/haar wallet te beïnvloeden of om in beroep te gaan tegen beslissingen omtrent de wallet. Maar straks kan het wel de facto verplicht worden om je zaken met de overheid of andere partijen te regelen, zoals nu al min of meer het geval is met je pensioen of je zorgverzekeraar.

[Reactie gewijzigd door ocf81 op 23 juli 2024 00:28]

sympa @Blokker_1999 • 15 december 2022 09:41

Als er ook een mechanisme in zit dat "informatievragers" aan eisen moeten voldoen en uit het systeem geknikkerd kunnen worden als ze bijvoorbeeld meer vragen dan nodig, of bij slecht omgaan met de gegevens, dan is dit wel degelijk een verbetering.
Maar het is EU-breed, dus er komen wellicht loopholes via Malta of zo....

n4m3l355 @Blokker_1999 • 16 december 2022 07:17

Uiteindelijk gaat het om mijn gegevens die ergens centraal beheerd worden in een zwarte doos waar ik niet van weet wie erna kan kijken of gekeken heeft, wie al dan niet iets met mijn data offsite of onsite heeft gedaan en wat er verder aanhangt. En dan ga ik enkel ervanuit dat het misgaat met mensen die toegang dienen te hebben, wat als er hackers toegang krijgen tot mijn gegevens en deze manipuleren?

Dat er geen passende oplossing is, wilt nog niet zeggen dat we maar moeten accepteren dat het niet anders gaat. Als er geen passende oplossing is, dan is misschien een centrale database niet het juiste antwoord om te beginnen voor een probleem die er eigenlijk niet is.

Dit is wanneer je kijkt enkel vanuit technisch oogpunt maar als burger mag ik gewoon van mijn privacy genieten? Het moet toch niet kunnen dat straks mijn data op en bloot voor iedereen die op papier toegang heeft, dat dan ook maar heeft? Dat moet toch aan mij zijn om deze rechten te geven, niet aan de overheid? Als ik niet wil dat de belastingdienst, de RWE, de lokale gemeente deze gegevens zomaar kan inzien, dan is dat mijn goed recht. Willen ze die data opvissen stuur maar een brief, een e-mail met een "invite", verzin het maar, maar dit is gewoon een luie oplossing door een partij die zowieso niet bekend staat dat die het hoog heeft met mijn rechten, zo ook hier.

En dan hebben we het ook niet dat dit een slippery slope is, nu mag misschien enkel Heerlen en de RWE erna kijken, morgen de lokale gemeente, en overmorgen een lokaal politie agentje omdat die mij niet zo mag en de dag erna de VVD want waarom niet. Dit is onhoudbaar en een uitnodiging tot misbruik op lokaal maar ook op EU niveau. En als mijn data misbruikt wordt, gaat de overheid er opeens iets aan doen? Gaan zij ook garanderen dat ik altijd veilig ben? Dat kunnen ze gewoon niet. Dus ze hebben wel de lusten, maar niet de lasten.

Oli4- @Blokker_1999 • 15 december 2022 09:55

Misschien zou een nieuwe SSI (Self-Sovereign Identity) techniek als Atala Prism een rol kunnen spelen.

dirkuijt @Oli4- • 15 december 2022 11:30

de rijksoverheid is met V-ID bezig en dat is op SSI gebaseerd:

https://nl.wikipedia.org/...eel-ID-vID-Nederland.webm
https://nl.wikipedia.org/wiki/Self-sovereign_identity (hier staat deze video rechts)

MicroWhale @Blokker_1999 • 15 december 2022 10:46

Je gaat een beetje voorbij aan het punt dat ik probeer te maken: In de voorgestelde oplossing wordt alle informatie van een persoon vanuit één plaats, centraal, en vooral niet door de eigenaar, beheerd. Niet alleen de correctheid, maar ook de verspreiding ervan.

Nu moet je idd je gegevens verstrekken, maar je weet dat je ze verstrekt en mag deze gegevens voorzien van een blauwdruk (voor bedrijf X, dd. d-m-y, voor dit doeleinde), zodat ze niet of moeilijk doorgesluisd kunnen worden. In een nieuwe situatie wens ik je veel succes als hackers het centrale systeem binnen komen. (En ja, ook dat zal gaan gebeuren. Namelijk: Single point of failure).

Je zou dit op kunnen lossen door een decentraal systeem te maken waarbij iedereen haar eigen informatie (waaronder identiteit) beheert en waarbij wijzigingen op die informatie vanuit consensus geregeld worden. Hierbij houdt consensus in dat alle partijen erbij instemmen dat de mutatie plaatsvindt. Een beetje zoals het overgaan van de eigenaarschap van een huis. Als je dit digitaal wilt doen, is een goed encrypte blockchain een mooie oplossing. Daar kan je zelf (een van) de benodigde sleutel(s) beheren om de informatie te mogen muteren en publiceren.

Breinier @Blokker_1999 • 15 december 2022 17:13

Het alternatief:

Zero Knowledge Proofs. je kan hiermee bewijzen dat je 18+ bent, rijbewijs hebt, etc.

Oplossing zodat bedrijven je persoonlijke gegevens niet nodig hebben: het enige dat nodig is;

of een nieuwe derivative key aanmaken van je private key voor elk bedrijf dat je bezoekt.
of een eenmalig (uniek) bericht cryptografisch signeren. elke keer dat je terug komt is het verifieerbaar dat jij het bent met je private key

[Reactie gewijzigd door Breinier op 23 juli 2024 00:28]

Khalid!! @Blokker_1999 • 15 december 2022 22:52

Waarom moet er ook een foto gestuurd worden? Waarom niet alleen de leeftijd? Gewoon ja of nee

Pasteis @MicroWhale • 15 december 2022 08:48

Ik ben een groot voorstander van digitalisering, maar dit zouden we niet moeten willen. Deze implementatie van Digitale identiteit is in mijn ogen de opmaat naar het bundelen ("de opzet is modulair") van al je identificatie-documenten (paspoort, rijbewijs, tenaamstelling, BKR, etc...). Dit kan leiden tot het besturen (lees: eenzijdig aanpassen) van je rechten vanuit die digitale identiteit. Ofwel: De Paarse Krokodil. Dat betekent dat overheden éénzijdig je identiteit aan kunnen passen én effectief kunnen maken met één klik.

Het eigenaarschap én gebruik van je Digitale identiteit zou bij het leidend voorwerp (jij) moeten liggen, zodat deze zelf kan bepalen wanneer en hoe deze gebruikt wordt. Daarnaast zouden de mutaties erop inzichtelijk, traceerbaar moeten zijn voor de eigenaar.
Nu is dat zo, omdat er bijvoorbeeld een NFC-chip in je paspoort zit en je er altijd bij bent als deze uitgelezen wordt. Je weet op dat moment waarvoor dat nodig is en welke gegevens waarvoor gebruikt worden (als je de kleine lettertjes leest).
Digitale Identiteit opent de weg voor iedereen om via een API een "Heeft deze persoon recht op" te gaan uitlezen. En op het moment dat de overheid beslist dat je dat niet hebt, is dat direct een feit. Nu zijn dat nog burgerrechten, maar bijvoorbeeld een vinkje voor 'toegang tot internet' of 'mag mobiel bellen' is zo gemaakt.

En op je reactie: "Alu hoedje! Wie zegt dat dat gaat gebeuren?" kan ik alleen maar zeggen: Ik hoop het niet. Ik heb toch wel wat implementaties van (overheids)systemen van dichtbij meegemaakt en heb gezien dat als er een mogelijkheid is, die eerdaags wordt gebruikt. Dat is de enige wet die nooit gebroken wordt.

Ik ben ook voor digitalisering en zie wel het positieve ervan, maar kan jouw zorgen heel goed begrijpen.
Het is ook lastig... want tot hoever kan je een overheid vertrouwen dat hij doet wat hij moet doen? De burgers beschermen. In Nederland zitten we ten opzichte van veel andere landen wel redelijk goed. Oké af en toe gaat ook onze overheid goed op hun bek (toeslagenaffaire).

De enige kans van slagen is dat openheid voorop staat in dit project en het liefst een onafhankelijke audit uitgevoerd gaat worden op de werking van het systeem en het borgen van dat het doet wat het zou moeten doen.

Als het in de basis blijft bij een leeftijdcontrole of rijbewijs zie ik er geen problemen in. Mits zoals jij ook al benoemd terug te vinden is dat ook echt alleen dat ene toegang is verleend (rijbewijs ja/nee). En het liefst ook teruggevonden kan worden hoe er tot deze keuze is gekomen? Bijv. bij leeftijd is 18+ de vertaalslag is gemaakt van geboortedatum naar controle (aan de kant van de app, niet aan de kant van het bedrijf die dit opvraagt).

En constructie als een app die de weg opent voor iedereen zie ik ook niet zitten. Bedrijven zouden hierop getoetst moeten worden. Waarom is het noodzakelijk, wat is het voor bedrijf? Door wie wordt het aangestuurd? Hoe gaan zij met privacy om? Etc... een bepaalde certificering voor bedrijven om toe te mogen staan dat ze gebruik maken van het digitale paspoort.

Ik hoop dat er goed over nagedacht wordt, goed wordt geinvesteerd en liever 5 jaar aan de tekentafel gebleven wordt dan dat het half uitgevoerd wordt (alhoewel dit nieuwsbericht aangeeft dat ze al verder zijn dan dat). Het enige waar ik alleen bang voor ben is dat onze huidige regering onvoldoende daadkrachtig is en comrpomisen sluit die wij als bevolking helemaal niet willen. Naar mijn insziens mag er voor Nederlandse identiteit nooit compromissen gesloten worden ten koste van ons!

sympa @Pasteis • 15 december 2022 09:40

Ik denk dat het tool op zich prima is. Maar het risico zit bij het teveel data kunnen vragen.
Nou had iemand laatst een aanvaring met onze "vrienden" bij airbnb. Daar kan je dus registreren, boeken en betalen, en vervolgens zit je dus "vast" totdat je een foto van je identiteitsbewijs opstuurt.
Dan is een bewijs via app een stuk veiliger.
Maar het geeft tegelijk aan dat we bedrijven die illegale dingen doen niet de toegang tot de markt weten te ontzeggen.

pheppy @sympa • 15 december 2022 11:37

Ik ben het met je eens. Als AirBNB je eerst laat betalen en daarna pas om een foto van je ID-bewijs vraagt is dat manipulatie en niet heel netjes.
Je kan dan denken dat een ID-bewijs via een app veiliger is. Maar overbevraging van gegevens is een groot risico als bijna iedereen zo'n wallet heeft. De onderhandelings positie van een gewone burger tov Big Tech (en Small Tech) is niet heel sterk. Als je weigert gegevens te verstrekken met de Wallet, dan laten ze je niet toe. Elke partij kan best een argument verzinnen waarom ze je gegevens nodig hebben. Marktplaats wil fraude tegengaan, Facebook en twitter willen nep-nieuws tegengaan, de fietsverhuur wil zijn fiets terug kunnen krijgen etc.

Ik vind dat bedrijven eigenlijk nooit hoeven te weten wat mijn officiële voor- en achternaam is. En ook niet op welk adres ik ingeschreven ben in de gemeentelijke administratie. Deze partijen hebben dit soort officiële gegevens ook nooit nodig voor hun diensten, een zelf bedachte naam of gewoon je 'roepnaam' is ook prima. Deze partijen hebben deze officiële gegevens eigenlijk alleen nodig voor als het fout loopt. Dat ze je dan kunnen achterhalen.
Ik vind dat deze bedrijven niet de spreekwoordelijke doopceel van elke klant moeten vragen, maar slechts van klanten waarvan voldoende aanleiding is om misbruik of fraude te vermoeden. In een proces waarin een flink aantal waarborgen zitten zou een partij dan wel de benodigde gegevens kunnen achterhalen van zo'n persoon. Dat kan prima met partij-specifieke pseudoniemen die via een (gewaarborgd en auditeerbaar) proces herleid kunnen worden tot bijvoorbeeld naam en adres.

Trouwens typisch dat Hoepman en Jacobs (volgens dit artikel) waarschuwen voor het risico van overbevraging van de Wallet. Hun eigen IRMA had in principe precies het zelfde risico als het heel succesvol was geweest. En IRMA had geen mogelijkheden om met partij-specifieke pseudoniemen en een gewaarborgd herleidingsproces een privacy vriendelijk alternatief te bieden.

denan @pheppy • 16 december 2022 11:17

Beiden zijn zich bewust van de noodzaak (op termijn) van polymorphe pseudonimisatie. Daar zijn ook genoeg artikelen over te vinden. Maar qua development capaciteit moet je soms keuzes maken wat voor gaat.

Verder staat in de wDO nu ook een stuk over stelselcodes en polymorphe pseudoniemen, maar is nog niet duidelijk hoe de overheid dit zelf gaat aanbieden in de bronidentiteit. To be continued dus.

Overbevraging is en blijft een issue. Een goede SSI wallet zal altijd aan een user inzichtelijk maken welke gegevens precies gedeeld worden. Dat veroorzaakt ook een frictie (Jij wil dat wel zien.. de gemmiddelde user zit niet te wachten op 6 schermen met attributen en wil gewoon 5% korting bij de mc donalds activeren). Dat is alleen met kaders af te dwingen.

Pasteis @sympa • 15 december 2022 11:57

Ik denk dat het tool op zich prima is. Maar het risico zit bij het teveel data kunnen vragen.
Nou had iemand laatst een aanvaring met onze "vrienden" bij airbnb. Daar kan je dus registreren, boeken en betalen, en vervolgens zit je dus "vast" totdat je een foto van je identiteitsbewijs opstuurt.
Dan is een bewijs via app een stuk veiliger.
Maar het geeft tegelijk aan dat we bedrijven die illegale dingen doen niet de toegang tot de markt weten te ontzeggen.

Dat risico begrijp ik heel goed, maar dan moet je gaan werken met iets in de zin van bijv. classificatieprofielen of dergelijks. Met andere woorden... een verhuurder mag maar een bepaald aantal gegevens opvragen, want daarmee wordt de identiteit bijv. bevestigd. Dit is natuurlijk iets wat de overheid makkelijk kan meenemen met

Bij de VOG wordt ook met profielen gewerkt (alhoewel deze volgens mij wel vrij te bepalen zijn door het bedrijf, wat ze willen). Dit kan je ook doen met de nut en noodzaak waarom iemands identiteit bevestigd moet worden. Om terug te komen op het voorbeeld van mijn vorige reactie. Een slijterij webshop hoeft niks meer te weten van dat de consument 18+ is, een verhuurder van auto's hoeft niks meer te weten dan dat de gebruiker een erkend rijbewijs heeft i.c.m. de noodzakelijke gegevens die voor het verhuren nodig zijn (als dat een rijbewijsnr. is dan kan dat op die wijze geverifieerd worden, maar als het geen BSN nodig heeft dan moet die ook niet opgevraagd kunnen worden.

(Wellicht is BSN slecht voorbeeld.. maar ik hoop dat je begrijpt wat ik bedoel).

bluescreen @sfdfd • 15 december 2022 11:05

Hahaha wat een grap.....

hoeksmarp @MicroWhale • 15 december 2022 08:31

Je hebt toch nog steeds jouw fysieke bewijzen? Nu heeft de gemeente ook alle registratie in beheer, het enige wat jij hebt is een officiële afdruk van de informatie die de gemeente beheert, dus als je hier bang voor bent moet je denk ik sowieso al bang moeten zijn. Er staat ook in het artikel dat Bart Jacobs, hoogleraar computerbeveiliging aan dezelfde universiteit, erop wijst dat opslag decentraal moet zijn. Dit zou dit probleem moeten ondervangen denk ik.

NielsFL @hoeksmarp • 15 december 2022 09:09

Helaas is dat een weinig specifieke uitspraak van Jacobs.

Voorbeeldje: patientendossiers worden nu door ziekenhuizen opgeslagen. Dat vinden we dan decentraal. Maar als je deze functie verplaatst naar de zorgverzekeraars is het natuurlijk nog steeds decentraal. Er zijn immers meerdere verzekeraars.

Bovendien is het vaak ook meer hypothetisch dan praktisch: zo slaan huisartsen in principe ook zelf patientendossiers op. Maar in de praktijk besteden ze dit bijna allemaal uit aan een handjevol partijen. Ja, het is dan nog steeds decentraal, maar niet zo decentraal als een leek wellicht denkt.

Datzelfde voorzie ik hier ook. De gemeentes waar je over spreekt slaan inderdaad van alles op. Maar de integratie met andere systemen is momenteel beperkt. Hoe meer ze met die data moeten gaan doen, hoe groter de kans dat ze besluiten de boel uit te besteden. Uiteindelijk is het dan weer een stuk minder decentraal dan we nu verwachten.

Jerie

@NielsFL • 15 december 2022 10:19

Decentraal is m.i. dat jij het zelf bewaard, en dat jij middels een soort van persoonlijke firewall toestemming geeft wie toestemming krijgt tot welke gegevens. Dat je een push notificatie krijgt: 'wilt u dat dokter bibber toestemming krijgt tot uw medische gegevens (subcategorie: medicatie)?' plus een tekst erbij met de reden waarom en een tijdsbestek waarna de informatie weer vernietigd wordt.

De voorbeelden die jij noemt zijn centraal. Alleen niet centraal bij overheid of bij 1 partij maar bij meerdere partijen. Dat is geen decentralisatie maar centralisatie vergelijkbaar met het verschil tussen monopolie en duopolie.

hoeksmarp @NielsFL • 15 december 2022 09:39

Datzelfde voorzie ik hier ook. De gemeentes waar je over spreekt slaan inderdaad van alles op. Maar de integratie met andere systemen is momenteel beperkt. Hoe meer ze met die data moeten gaan doen, hoe groter de kans dat ze besluiten de boel uit te besteden. Uiteindelijk is het dan weer een stuk minder decentraal dan we nu verwachten.

In welke systemen zou er dan geïntegreerd moeten worden? Het gaat toch nog steeds alleen om beheer van de informatie en momenteel gebruiken gemeenten daar volgens mij toch ook allemaal hetzelfde systeem voor?

Ik vind het vooral wat voorbarig om nu al te zeggen dat het problematisch is. Totdat we de implementatie zien, is daar niets van te zeggen en, zoals ik al zei, je hebt nog altijd dat fysieke bewijs, dat zal in de nabije toekomst echt niet veranderen.

MicroWhale @hoeksmarp • 15 december 2022 11:12

Dat een hoogleraar roept dat e.e.a. decentraal moet (of kan) zijn, wil helaas niet zeggen dat de overheid daar naar luistert. De overheid heeft (even heel negatief bekeken) andere belangen: macht. Die alinea boven 'Tot slot' zegt in mijn ogen veel over hoe de politiek er over denkt: We moeten mee met het invoeren van EU-identiteit.

Daarnaast hebben we de komende jaren nog zeker onze fysieke bewijzen, maar die zullen bij invoering van een dergelijk systeem steeds meer in ongebruik raken: Gebruik jij nog een fysiek treinkaartje, buskaart, vliegticket of fysiek geld? Ik niet.

hoeksmarp @MicroWhale • 15 december 2022 11:54

De overheid heeft (even heel negatief bekeken) andere belangen: macht.

Als dat jouw wereldbeeld is, dan denk ik niet dat een discussie heel zinvol is.

Daarnaast hebben we de komende jaren nog zeker onze fysieke bewijzen, maar die zullen bij invoering van een dergelijk systeem steeds meer in ongebruik raken: Gebruik jij nog een fysiek treinkaartje, buskaart, vliegticket of fysiek geld? Ik niet.

Hangt er vanaf wat je fysiek noemt. Ik heb een chipkaart en een pinpas bij me. Mijn vliegticket wordt mij per email toegestuurd en die print ik regelmatig als backup. Overigens is het bij een fysiek vliegticket niets anders dan bij een digitaal ticket dat als de luchtvaartmaatschappij iets anders in haar database heeft staan je hard kunt zwaaien met je ticket, maar je toch echt het vliegtuig niet in komt. Daar hebben digitale tickets weinig aan verandert voor zover ik weet.

MicroWhale @hoeksmarp • 15 december 2022 12:37

Precies, als de NS, KLM (vervoerder) bepaalt dat je geen recht meer hebt op het reizen, dan blokkeren ze vanuit centraal je toegangsbewijs. Bij vliegreizen moet je nog door de douane en is het al zo dat als je iets op je kerfstok hebt, je (terecht) niet meer kan vliegen en/of opgepakt wordt.

Bovenstaande is maar één bedrijf. Een centraal ID-bewijs legt de basis voor het weigeren van veel meer (door overheden of bedrijven die je dwingen door voorwaarden te stellen voor het afnemen van diensten) en op een veel grotere schaal.

Ja, ik vind daar wat van.

hoeksmarp @MicroWhale • 15 december 2022 13:45

Mijn punt is dat dat ID bewijs al bestaat, inclusief de database die erachter zit. Ik zie niet in wat het probleem is.

Sliderox @hoeksmarp • 15 december 2022 14:10

oftewel GBA hahahaha alleen kan je het nu zelf inzien

NielsFL @MicroWhale • 15 december 2022 08:47

100% eens. Sowieso heb ik liever dat Hertz weet dat ik NielsFL ben, dan dat de overheid weet dat ik een auto huur.

Nu is het niet zo dat ik commerciele bedrijven meer vetrouw dan de overheid, maar ik heb wel het idee dat ik makkelijker mijn recht haal in een conflict met een bedrijf dan met een overheid.

ivojansch @NielsFL • 15 december 2022 09:02

Omdat de data in jouw wallet op je device staat, weet de overheid juist niet dat je een auto huurt.

NielsFL @ivojansch • 15 december 2022 10:45

Ja, dat is nu de belofte. Waar jij een overheid ziet die beloofd niet mee te gaan kijken, zie ik een overheid die zich in een transactie mengt waar ze niets mee te maken hebben.

japie06 @NielsFL • 15 december 2022 11:50

Het is in principe de taak van de overheid om identiteitsbewijzen uit te geven. Dit is gewoon een digitale variant er op die wat beter (in theorie) met de privacy moet omgaan. Het hangt uiteindelijk van de uitwerking af of dat ook zo is.

Als ik kijk hoe DigiD en het coronabewijs zijn opgezet ben ik daar voorzichtig positief in.

Stoney3K

Overheid
Politiek en recht
Nederland

@NielsFL • 15 december 2022 14:43

Hoe willen ze dat precies gaan doen? De app is open-source, dus als er een 'meekijk' routine in zit dan komen mensen die ook tegen wanneer ze door de code gaan snuffelen. En de data van jouw papieren staat dus op jouw device, niet op een centrale back-end, dus ze kunnen niet meekijken zonder dat daarvoor iets in de code gebakken zit wat die data client-side weg stuurt.

tormentor1985 @Stoney3K • 16 december 2022 16:26

Het heeft niet eens zo zeer te maken met 'de overheid die mee kijkt'. Het probleem is vooral dat een overheid invloed kan hebben op het wel of niet hebben van privileges. Het CTB werkte ook helemaal offline en dus kon de overheid niet zien waar men was, echter konden ze wel bepalen waar men niet naar binnen kon als men niet de benodigde privileges had.

Het is niet voor het eerst dat een overheid iets maakt met beloftes dat het niet gebruikt zal worden om .... en het vervolgens toch voor die doelstellingen gaat gebruiken omdat de middelen en infrastructuur er nu toch zijn. Kijk naar de ANPR camera's die inmiddels zonder tussenkomst van een officier bekeuringen schrijft voor bepaalde verkeersovertredingen. In het leven geroepen voor criminele opsporing / terrorisme en nu in gebruik om een lullig foutje van een willekeurige burger te bestraffen.

We hoeven enkel naar China te kijken om te weten dat dit hele idee gewoon een heel slecht idee is. Tot voor kort was het nog getest of geprikt is groen vinkje maar wat is het zometeen? Als iemand te veel door het rode licht loopt geen toegang tot luxe hotels of restauranten?

laptopleon @NielsFL • 15 december 2022 10:16

Het boeit de overheid niks wie er een auto huurt. Hooguit wil de recherche weten wie die auto gehuurd heeft waarmee de daders van een ramkraak de week ervoor hebben staan posten.

Iedereen neemt nu voor lief dat je bakken anonieme spam krijgt, dat de recherche eindeloos bezig is om genoeg lullige stukjes bewijs te verzamelen, dat je als autohuurder via de verzekering opdraait voor de kosten van criminelen. Maar eigenlijk is het totaal oneerlijk. Hiermee kun je dat terugdringen.

gevoelig @laptopleon • 15 december 2022 17:49

Het boeit de overheid niks wie er een auto huurt. Hooguit wil de recherche weten wie die auto gehuurd heeft waarmee de daders van een ramkraak de week ervoor hebben staan posten.

Dat is natuurlijk niet waar. De overheid wil bijvoorbeeld al iets weten van iedere transactie boven de 100 euro.

laptopleon @gevoelig • 15 december 2022 18:58

Nou ja, sommige partijen willen dat. Of eigenlijk: ze willen dat de banken daarmee aan de slag gaan. Maar dat wil nog niet zeggen dat dat ook werkelijkheid wordt. Het schiet ook niet op want dan heb je bijna heel Nederland op je lijstje.

gevoelig @laptopleon • 16 december 2022 06:57

Nou ja, sommige partijen willen dat. Of eigenlijk: ze willen dat de banken daarmee aan de slag gaan. Maar dat wil nog niet zeggen dat dat ook werkelijkheid wordt.

Volgens mij zou dit dan de eerste vraag zijn die niet gewoonweg wordt doorgevoerd. Maar misschien ben ik een beetje een doemdenker en zou ik wat beter van vertrouwen moeten zijn

.

Als we hier over een jaar terug komen staat het er en anders over twee jaar.

laptopleon @gevoelig • 16 december 2022 13:50

Ik ben het lang niet overal mee eens, maar als je dit soort discussies volgt, door de jaren, zie je ook dat de soep nooit zo heet gegeten wordt als veel mensen vrezen.

Als je bij een willekeurig nieuwsbericht rond identificatie/privacy/etc van pakweg tien jaar geleden hier op tweakers de reacties leest, zie je precies dezelfde scepsis. Geen nieuwsbericht zonder dat er een Godwin gemaakt wordt. Mensen gaan vaak meteen uit van het ergste. Valt gelukkig in de praktijk erg mee tot nu toe

gevoelig @laptopleon • 19 december 2022 14:33

Dat is onduidelijk. Ik vraag me af hoeveel mensen op dit moment geen paspoort hebben vanwege de vingerafdruk eis...

laptopleon @gevoelig • 20 december 2022 10:31

Sowieso dachten veel mensen dat de vingerafdruk centraal geregistreerd zou worden én een soort van big brother-hulpstuk zou worden.

Dat is allebei niet gebeurd. Sterker nog, heel die vingerafdruk wordt volgens mij niet gebruikt bij grenscontroles, voor zover er überhaupt ooit grenscontroles zijn dan, want dan moet je al naar buiten de Schengen-zone reizen.

sympa @NielsFL • 15 december 2022 17:56

Het stomme is dat Hertz die data waarschijnlijk al deelt met derden. Om fraude te bestrijden, om zelf betere advertentieleads te krijgen, of om advertenties van derden op hun site te krijgen (hotel erbij boeken bijvoorbeeld).
En die derden zijn echt veel minder te vertrouwen dan onze overheid. En hebben ook veel macht.

Remzi1993 @MicroWhale • 15 december 2022 12:10

Officieel ben jij als burger geen eigenaar van een paspoort of ID, er staat letterlijk in eigendom van de staat en moet op aanvraag teruggegeven worden. Dit staat letterlijk met kleine letters in het paspoort, dit zou niet anders zijn voor de ID en rijbewijs.

MicroWhale @Remzi1993 • 15 december 2022 12:18

Precies: Jij bent eigenaar van je identiteit, de overheid is eigenaar van het identiteitsbewijs (het document waarin staat wat je identiteit is).

[Reactie gewijzigd door MicroWhale op 23 juli 2024 00:28]

Remzi1993 @MicroWhale • 15 december 2022 12:34

Ik weet niet of het zo geregeld is voor de wet, maar heb hier nog nooit over gehoord 'dat identiteit een eigenaarschap kent' volgens mij is dat niet zo en is identiteit iets waar geen eigenaarschap op rust, maar gewoon bent of herleid naar een persoon of rechtspersoon.

Het beste is om een advocaat te vragen hoe het precies is geregeld dan zelf aannames te maken of te gaan speculeren.

[Reactie gewijzigd door Remzi1993 op 23 juli 2024 00:28]

ivojansch @MicroWhale • 15 december 2022 09:01

Zoals je in het artikel kunt lezen staan de gegevens niet centraal maar in je wallet op het device. De API die je voorstelt die alle gegevens bundelt is dan technisch onmogelijk. Juist omdat ze op je device staan ben je erbij als de data gebruikt wordt.

Svenbuis @ivojansch • 15 december 2022 09:23

Hierboven legt @NielsFL al uit waarom decentraal misschien minder decentraal is dan we denken.

Maar laten we even vanuit gaan dat het nu volledig decentraal is. Vervolgens gaat dit massaal gebruikt worden en dan ga je uiteindelijk op een punt komen waar we met geld bijvoorbeeld nu zijn aangekomen. In winkels zijn ze vaak al niet meer blij met je als je cash betaald en het is afwachten totdat cash geweigerd gaat worden.

Dit kan straks bijv. gebeuren bij een cafe. Die controleert nu dan met app en iemand die gewoon zijn fysieke ID laat zien. Totdat de app gemeengoed is en een cafe, uit gemak, alleen nog maar de app accepteert. Alles is decentraal, dus nog niks aan de hand. Alleen wordt je wel afhankelijk van de app en heb je toekomstige wijzigingen dus potentieel maar 'te slikken'.

Zodra je iets mogelijk maakt kan het misbruikt worden (overigens door beide partijen die er gebruik van maken).

ivojansch @Svenbuis • 15 december 2022 09:28

Daarom is het goed dat de EU erop aandringt dat de Wallet niet verplicht mag worden. Dus er zullen altijd alternatieven moeten blijven bestaan voor mensen zonder deze digitale Wallet.

Anoniem: 1576590 @ivojansch • 15 december 2022 13:04

Mijn 3 belangrijkste zorgen:

1) Fake sites waarvan slachtoffers denken dat zij van een andere organisatie zijn, en waar de eigenaar van die site elders als zijnde het slachtoffer authenticeert. Je gaat met deze "wallet-ID's" wel van personen eisen dat zij zich "betrouwbaar" authenticeren, terwijl authenticatie van de authenticeerder (meestal websites), en de manier waarop organisaties domeinnamen kiezen, een puinhoop is.

Hoe moet je als potentieel slachtoffer weten dat bijv. azuresharepoint[.]com [x]
niet van Microsoft is en wat als je een typo over het hoofd ziet in bijv. microsofloffice365[.]com [x] (waar al 24x een Let's Encrypt certificaat aan is toegekend)?

Mensen trappen massaal in dit soort phishing sites (en niet alleen sukkels).

[x] Links verwijzen naar crt.sh die het aantal uitgegeven https servercertificaten laat zien.

2) Gecompromitteerde smartphones: dat aantal gaat alleen maar toenemen. Vooral via kwaadaardige apps die boven andere apps het scherm kunnen wijzigen en jou zo voor andere sites laten authenticeren dan jij denkt.

3) Minder digitaal vaardige mensen die nu een stokoude of nog helemaal geen smartphone hebben maar zich gedwongen "voelen" om te participeren (probeer maar eens zonder internetbankieren te leven). Er bestaan geen alternatieve betrouwbare manieren om online te authenticeren (kopie-ID opsturen is ridicuul).

Het wellicht allergrootste risico is dat te veel mensen denken dat online authenticatie betrouwbaarder is dan zij is, en er niet van begin af aan vangnetten voor slachtoffers van identiteitsfraude worden opgetuigd.

Nb. de meeste mensen zijn niet zo digitaalvaardig als de gemiddelde tweaker met de laatste smartphone van 1000 Euro.

ivojansch @Anoniem: 1576590 • 15 december 2022 17:11

Mbt 1: hiervoor heb je een concept dat ‘relying party authentication’ wordt genoemd. Hierbij moet iemand die gegevens uit de Wallet wil accepteren zich registreren en de Wallet kan controleren dat er alleen gegevens worden aangeboden aan partijen die geauthenticeerd zijn.

Mbt 2. Ja, daar zal op gelet moeten worden en actie op ondernomen. En een stukje bewustwording hoe je je smartphone veilig houdt.

Mbt 3. Zo’n alternatief zou dan kunnen bestaan uit een analoge route. Dus niet ‘analoog identificeren bij een online site’ maar heel het proces een alternatief geven. (Net zoals er voor CoronaCheck een telefoonnummer was waarmee je je QR code geprint thuis kon laten sturen).

Anoniem: 1576590 @ivojansch • 15 december 2022 19:19

Dank voor jouw antwoord.

ivojansch schreef:

Mbt 1: hiervoor heb je een concept dat ‘relying party authentication’ wordt genoemd. Hierbij moet iemand die gegevens uit de Wallet wil accepteren zich registreren en de Wallet kan controleren dat er alleen gegevens worden aangeboden aan partijen die geauthenticeerd zijn.

Als "kan" in de laatste zin optioneel betekent, heeft dat geen zin.

Ter vergelijking, de kracht van DigiD is dat er een streng selectieproces is (voor websites, relying parties dus) voordat burgers met DigiD op een site mogen authenticeren.

Zelfs als elke RP (Relying Party, authenticerende website dus) aan minimale eisen moet voldoen, zullen die eisen lager zijn dan nu voor DigiD gelden.

Het lijkt mij ondoenlijk om de websites van elke slijter en gokbedrijf te auditen en te pen-testen, bijv. een EV-certificaat te vereisen en meekijkende -en potentieel manipulerende- Javascript van tig "analytics" boeren als onacceptabel te verklaren.

Tenzij er, vanuit de app, niet te missen waarschuwingen verschijnen zoals "U gaat authenticeren op een niet vertrouwde website (klik hier voor meer info)" gaan er onnodig veel slachtoffers (identiteitsfraude) vallen.

Mocht een (altijd achter de feiten aanlopende) blocklist van foute sites nog niet zijn voorzien, dan voorspel ik nu dat die er gaat komen.

ivojansch schreef:

Mbt 2. Ja, daar zal op gelet moeten worden en actie op ondernomen. En een stukje bewustwording hoe je je smartphone veilig houdt.

Gaan de app-ontwikkelaars daarvoor zorgen? Gokje: zij vinden het niet hun verantwoordelijkheid om die bewustwording op een redelijk peil te krijgen.

Erger, er is helemaal niemand die zich hier verantwoordelijk voor voelt; smartphones zijn "nou eenmaal" multi-purpose systemen.

Gebruikers zullen in het diepe worden gegooid met prachtige websites die de voordelen noemen maar alle risico's verzwijgen die gebruikers lopen.

Het gevolg is onbetrouwbare authenticatie, wat vooral voor de niet-nerds onder ons enorme impact kan hebben.

ivojansch schreef:

Mbt 3. Zo’n alternatief zou dan kunnen bestaan uit een analoge route. Dus niet ‘analoog identificeren bij een online site’ maar heel het proces een alternatief geven. (Net zoals er voor CoronaCheck een telefoonnummer was waarmee je je QR code geprint thuis kon laten sturen).

Dat heeft weinig met online authenticeren te maken (tenzij je het kennen van een BSN "authenticeren" noemt, iets dat marktpartijen niet eens kunnen checken) en bovendien waren de risico's (bij de NL QR-code) beperkt.

Steeds vaker moet je voor banken en verzekeringen online authenticeren door een scan van je paspoort op te sturen en een "live" filmpje van jezelf te maken - iets dat "dankzij" AI steeds fraudegevoeliger wordt. Een toenemend aantal social mediasites willen paspoortscans, en daar blijft het niet bij.

Het dilemma bij dit soort apps is dat je eigenlijk middels attestation veel (oudere) smartphones of toestellen met allerlei meuk erop (waaronder MitM-capable apps en/of toegevoegde rootcertificaten) zou moeten uitsluiten, en wellicht gebruikers die zakken voor een "security awareness" test na installatie van de app zou moeten weigeren, maar dat resulteert in veel te weinig gebruikers en een verontwaardigde rest.

Het uitgangspunt was "het moet op een smartphone" met de opdracht "zoek maar uit hoe dit 'veilig' kan".

De vraag of online authenticeren met een minder dan gemiddelde smartphone op het huidige web überhaupt veilig genoeg kan, is al een gepasseerd station - waarbij ik alvast uitsluit dat marktpartijen en/of de overheid een structureel budget voor een vangnet voor slachtoffers beschikbaar zullen stellen.

Wat velen "vooruitgang" noemen, is in de praktijk een grotere wig drijven in de samenleving.

Anoniem: 1576590 @ivojansch • 18 december 2022 12:16

Tevens @denan : mogelijke mitigatie van probleem 1 (fake site, AitM).

Vereenvoudigd: neem in de (met de private key van authenticerende persoon) ondertekende identificerende gegevens tevens het https servercertificaat op van de website.

Voordeel: als er sprake is van een AitM kan de feitelijke RP (Relying Party) dat detecteren. Mocht de RP dat toch accepteren, dan heeft zij geen steekhoudend bewijs dat het individu direct bij de feitelijke RP authenticeerde; immers, zij kan niet (althans niet zonder medewerking van de aanvallers) bewijzen dat het haar servercertificaat is.

Nadeel: dit gaat fout bij "legitieme" TLS-inspectie (zoals sommige virusscanners en firewalls van organisaties doen). Maar dit probleem blijkt ook niet onoverkomelijk bij authenticatie middels TLS client certificaten in bijv. smart cards - waarbij de authenticatie "cryptographically bound" is aan de verbinding; wat ik voorstel is vergelijkbaar.

Verder filosoferend zou de app aan de gebruiker moeten laten zien:

De door de kennelijke RP opgegeven organisatienaam;
De exacte reden van authenticatie (matchend met een item uit een predefined lijst in de app);
De vereiste identificerende gegevens;
Datum en tijd.

Als bovenstaande gegevens, samen met het https servercertificaat en de identificerende attributen, door de client worden ondertekend en verzonden, is het voor AitM's veel lastiger om zich, als zijnde het slachtoffer, elders te authenticeren - vooral indien dat voor een ander doel is.

Ter verduidelijking een aanvalsscenario. Je ontvangt een mail met aanbiedingen voor wijn en sterke drank met een verwijzing naar (fake) gall-aanbiedingen.com. Die website zal als twee druppels water lijken op https://www.gall.nl/.

Om te kunnen bestellen vermeldt de site dat de overheid, "om fraude te voorkomen", vereist dat je met alle attributen van jouw identiteitsbewijs (behalve BSN) authenticeert. In de achtergrond sluit de eigenaar van de nepsite, op jouw naam, een lening af.

Door het opnemen van het https servercertificaat bij de authentication ceremony is het lastiger om te frauderen.

Deze maatregel helpt zelfs bij geavanceerde aanvallen met "domeinnaam-kaping", ofwel door DNS-records ongeautoriseerd te wijzigen of middels BGP hijacks.

(Bij laatstgenoemde aanval werd netwerkverkeer bestemd voor een speciefiek IP-adres naar een andere server geleid, waarna de aanvallers daar meteen een Domain Validated certificaat voor verkregen. Internetters communiceerden dus daadwerkelijk met een site met de correcte domeinnaam, echter met daarachter een server van aanvallers in plaats van de echte).

Ik weet niet precies welke maatregelen nu al gepland zijn in de wallet-ID/IRMA app, maar aangezien jullie niet aansloegen op mijn zorg #1 hoop ik bij te kunnen dragen met dit voorstel.

Nb. dit lost mijn andere zorgen niet op, en slachtoffers delen nog steeds potentieel privacygevoelige informatie met onbedoelde partijen (die daar ook op andere wijze misbruik van zouden kunnen maken). Maar wellicht kan mijn voorstel wel helpen bij het verkleinen van het aantal mogelijkheden voor identiteitsfraude.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 00:28]

denan @Anoniem: 1576590 • 18 december 2022 14:01

Kom ik op terug. Een aantal van die zaken zijn al geimplementeerd. Een paar zouden wellicht interessant zijn!

Anoniem: 1576590 @denan • 21 december 2022 15:56

Terugkomend op jouw reactie in de "IRMA-draad" over het risico van client-side AitM's:

In deze analyse van een recente Anubis banking trojan vind je, kort voor de helft van de pagina, in Figure 7 een GIF-animatie die de werkwijze verduidelijkt.

De app suggereert "Google Protect" te zijn en dat deze de Accessibility Services nodig heeft om te kunnen scannen op kwaadaardige apps. Als je dat goedvindt, kan die app -uit het zicht- elke andere permissie claimen, waaronder beheerprivileges.

Deze apps worden "nageladen" door schijnbaar niet-kwaadaardige apps in de Google Play Store. De makers doen er alles aan om te voorkomen dat dit opgemerkt wordt in het toelatingsproces van de Play Store.

Nieuw is deze methode niet: hier vind je een analyse uit 2018, met nagenoeg dezelfde werkwijze. Relevante screenshots ca. halverwege de pagina, toevallig ook Figure 7.

Er zijn ook legitieme apps die die zo'n "toegankelijkheidsdienst" installeren, zoals een Google "Leesmodus" app aangekondigd op Tweakers begin deze maand.

Uit de (voor mij Engelstalige) Play Store voor deze "Reading Mode" app:

Permissions Notice:
• Accessibility Service: Since this app is an accessibility service, it can observe your actions and window content.

Veel gebruikers zullen de risico's van het geven van toestemming hiervoor niet inzien.

Svenbuis @ivojansch • 15 december 2022 11:03

Dat is zeker goed. Mijn punt alleen is dat als iets eenmaal bestaat dat er niet echt meer een weg terug is.

Als de techniek er is hoeft op termijn alleen de verplichting komen te vervallen dat er altijd een alternatief moet zijn.

hoeksmarp @Svenbuis • 15 december 2022 09:43

Dit kan straks bijv. gebeuren bij een cafe. Die controleert nu dan met app en iemand die gewoon zijn fysieke ID laat zien. Totdat de app gemeengoed is en een cafe, uit gemak, alleen nog maar de app accepteert. Alles is decentraal, dus nog niks aan de hand. Alleen wordt je wel afhankelijk van de app en heb je toekomstige wijzigingen dus potentieel maar 'te slikken'.

Volgens mij gaat het over digitale identificatie op internet:

Nederland krijgt een paspoort voor op internet.

Svenbuis @hoeksmarp • 15 december 2022 11:01

In de screenshots staat vervolgens wel het voorbeeld van een cafe.

Wellicht dat dit dan precies aangeeft dat het begint met internet en daarna ongetwijfeld door gaat sijpelen naar andere zaken.

hoeksmarp @Svenbuis • 15 december 2022 11:04

Ik had de screenshots niet bekeken. Dat is inderdaad bijzonder. Zolang de eis is dat het geen verplichting mag zijn, zie ik geen problemen in het aanbieden van een alternatief. Er zijn veel mensen die liever alleen een telefoon op zak hebben (geen pasjes meer). Lijkt me eigenlijk helemaal niet verkeerd als die mensen op deze manier toch ID op zak hebben.

pheppy @Svenbuis • 15 december 2022 11:51

Er is nog een reden waarom decentraal misschien minder decentraal is dan we denken.

Het aansluiten op 38 wallets van allerlij europeese partijen is niet makkelijk. Net als de Payment Service Providers (PSP zoals Adyen en Molli) voor online betalen zullen er Wallet Service Providers (WSP) komen die het aansluiten op deze wallets voor heel veel klanten gaan afhandelen. Kijk maar wat IRMAconnect voor de IRMA Wallet aanbied met het argument 'ontzorging'.

Als er straks een paar grote WSP's overblijven, dan zullen alle persoonlijke gegeven voor bijna alle bedrijven (in leesbare vorm) langs deze centrale WSP's lopen. Ik verwacht dat Google, Meta en Apple dan wel WSP willen worden.

Ik vind dat deze EU Wallets bescherming moeten bieden tegen grote centrale WSP's (aka proxies).

denan @pheppy • 16 december 2022 11:12

Decentraal is decentraal als mensen hun eigen infrastructuur draaien. Dat kan bij IRMA gewoon (en bij andere alternatieven ook). IRMAconnect bestaat puur voor de partijen die zelf geen infra kunnen (of: willen) draaien en dat in willen kopen.

Natuurlijk wil je het liefst alles in je eigen beheer (en volledig decentraal hebben) maar niet iedereen is daartoe in staat. Dan is het een beetje kiezen tussen twee kwaden: Niet doen.. of een centraal component aanbieden.

Belangrijk is wel dat gebruikers altijd kunnen zien over wat voor infra hun verzoeken lopen. Verder eens dat dit soort serviceproviders goed bekeken moeten worden. Ze draaien ook vaak brokers voor DigID/eHerkenning/etc. dus ze moeten al voldoen aan strikte voorwaarden. Maar dat moet wel gecontroleerd worden.

MicroWhale @ivojansch • 15 december 2022 11:07

Het punt is dat die gegevens uit een centraal beheerd potje komen (namelijk van de overheid). Die wallet is slechts een interface (er staat letterlijk: Gegevens worden niet opgeslagen). Een doorgeefluik. Er wordt wel gevraagd: "Kloppen deze gegevens?", maar bij een "nee" is het aanpassen ervan een helse klus. Dan moet je naar de gemeente om e.e.a. aan te laten passen? Zie de balie met de paarse krokodil.

Daarnaast: de alinea boven de "tot slot" geeft eigenlijk al aan dat het kabinet lak heeft aan 'een meerderheid in de kamer die tegen het invoeren van EU-identiteit is'... Dat betekent dus dat we straks voor onze identiteit afhankelijk zijn van een EU-systeem. En hoe ga je dan als burger invloed uitoefenen op wat er wel/niet in die gegevens komt te staan? Kort antwoord: Niet.

Zoals gezegd vind ik dat jij dé eigenaar van je identiteit bent. En jij bent één van de sleutelhouders voor het aanpassen of publiceren ervan. De andere sleutelhouder is de overheid. Aangezien jij overduidelijk de eigenaar bent (en de overheid de verificator), zouden de gegevens te allen tijden in jouw handen moeten zijn en zou het systeem zo moeten werken dat zowel de overheid áls jij toestemming moeten geven om gegevens te wijzigen of te publiceren.

J_van_Ekris @MicroWhale • 15 december 2022 16:49

Het punt is dat die gegevens uit een centraal beheerd potje komen (namelijk van de overheid). Die wallet is slechts een interface (er staat letterlijk: Gegevens worden niet opgeslagen). Een doorgeefluik. Er wordt wel gevraagd: "Kloppen deze gegevens?", maar bij een "nee" is het aanpassen ervan een helse klus. Dan moet je naar de gemeente om e.e.a. aan te laten passen? Zie de balie met de paarse krokodil.

Het artikel zegt letterlijk:

Er is geen centrale opslag van gegevens; de gegevens over de kaarten in de Wallet komen van de individuele instanties en overheden, terwijl de verzamelde data alleen in de app van de gebruiker staat.

Dat is zoals IRMA van Bart Jacobs ook werkt: je identificeert je eenmalig bij een instantie, waarna je een kopie van de door die bron beschikbare gegevens krijgt die in je wallet gestopt worden. Daar zit een signature op, zodat een toekomstige ontvanger kan controleren of de gegevens authentiek en ongewijzigd zijn.

Zoals gezegd vind ik dat jij dé eigenaar van je identiteit bent. En jij bent één van de sleutelhouders voor het aanpassen of publiceren ervan. De andere sleutelhouder is de overheid. Aangezien jij overduidelijk de eigenaar bent (en de overheid de verificator), zouden de gegevens te allen tijden in jouw handen moeten zijn en zou het systeem zo moeten werken dat zowel de overheid áls jij toestemming moeten geven om gegevens te wijzigen of te publiceren.

Als ik het artikel lees, is dat juist de toekomstige opzet van deze wallet.

MicroWhale @J_van_Ekris • 15 december 2022 17:42

Yep, het begint onschuldig. Lees de EU-digitale identiteit documentatie maar even, om te begrijpen wat ik bedoel.

Yongshi @MicroWhale • 16 december 2022 12:15

Geef op zijn minst een link met dit soort uitspraken...

jochemd @MicroWhale • 15 december 2022 09:38

Ik ben een groot voorstander van digitalisering, maar dit zouden we niet moeten willen. Deze implementatie van Digitale identiteit is in mijn ogen de opmaat naar het bundelen ("de opzet is modulair") van al je identificatie-documenten (paspoort, rijbewijs, tenaamstelling, BKR, etc...). Dit kan leiden tot het besturen (lees: eenzijdig aanpassen) van je rechten vanuit die digitale identiteit. Ofwel: De Paarse Krokodil. Dat betekent dat overheden éénzijdig je identiteit aan kunnen passen én effectief kunnen maken met één klik.

Hoe kan een overheid dat precies? Zoals ik het voorstel lees voeg je een identiteitsdocument toe aan je device en wordt die op dat moment gecontroleerd en getekent. Hoe kan de overheid vervolgens dit document dat op jouw device staat aanpassen?

Digitale Identiteit opent de weg voor iedereen om via een API een "Heeft deze persoon recht op" te gaan uitlezen.

Een API die je zelf in je broekzak meedraagt en die je op moet starten door een barcode te scannen en vervolgens op OK te klikken is niet een API waar ik me zorgen over maak.

Het bezwaar van te pas en te onpas vragen naar een identiteit zie ik ook. Ik denk echter niet dat dat gevaar zo groot of onbeheersbaar is dat we dit niet moeten willen. Het genoemde voorbeeld "dat zij aan jou vragen hoe oud je bent als je een postpakket wilt versturen" is juist een mooi voorbeeld van wat er zo veel beter kan met een dergelijk systeem. In plaats van dat je een fysiek identiteitsbewijs moet laten zien waar nog veel meer op staat dan een leeftijd, wordt er gevraagd "ben je ouder dan 18" en hoeven ze zelfs de eigenlijke leeftijf niet meer te weten.

ocf81 @jochemd • 15 december 2022 12:43

Een API die je zelf in je broekzak meedraagt en die je op moet starten door een barcode te scannen en vervolgens op OK te klikken is niet een API waar ik me zorgen over maak.

Ik denk het omgekeerde. De database aan de andere kant bevat alle interacties en je wallet kan naar believen worden geblokkeerd en gemanipuleerd door de overheid, als ze daar noodzaak toe zien.

Stoney3K

Overheid
Politiek en recht
Nederland

@jochemd • 15 december 2022 14:45

De overheid kan misschien de gegevens van jouw identiteitsdocumenten niet aanpassen, maar ze kunnen wel de voorwaarden aanpassen waaronder bepaalde identiteitsdocumenten worden geaccepteerd en welke data er voor welke handeling nodig is.

Dat is alleen ver buiten de scope van deze app. Als de overheid morgen bepaalt dat je voor het aanvragen van een autoverzekering ineens een bankpas, een zorgverzekeringspas en een BKR-uittreksel moet overhandigen, dan kan dat nu ook een probleem worden. Die app gaat daar niets aan veranderen.

Oon

@MicroWhale • 15 december 2022 09:12

Als de implementatie correct is dan zou een aanpassing van je ID door de overheid zorgen voor een nieuwe fysieke ID die je zelf opnieuw moet scannen; oftewel ze kunnen het net zo goed als nu, maar je hebt zelf die extra stap ter controle.

Als de implementatie inderdaad gewoon het registreren van je ID met een server is dan moeten we dit sowieso al niet willen, want we weten inmiddels dat de overheid niet bepaald te vertrouwen is met het veilig opslaan van gegevens..

IStealYourGun @MicroWhale • 15 december 2022 10:30

Dit kan leiden tot het besturen (lees: eenzijdig aanpassen) van je rechten vanuit die digitale identiteit.

Het goede nieuws is dat je rechten zijn beschermd door internationale verdragen en de overheden zich ook aan de wet moeten houden dankzij trias politica. Als die rechten worden geschonden dan treden er verschillende mechanisme in werking om dat te corrigeren, we zien dat nu gebeuren bij o.a. Polen en Hongarije. Het slechte nieuws is dat die mechanisme zeer traag zijn, maar dat komt omdat er voorlopig onvoldoende draagvlak is om meer mogelijkheden te geven aan het Hof van Justitie van de Europese Unie.

Gelukkig erkennen de meeste politieke partijen wel die internationale verdragen en zijn het enkel de partijen aan de buitenkant van het politiek spectrum die de verdragen wil aanpassen, want o.a. de mensenrechten beschermen de rechten van alle mensen, dus ook die van mensen buiten de EU en dat vinden ze niet kunnen.

Omnicron1 @MicroWhale • 15 december 2022 12:48

helemaal mee eens.
niet nog meer registratie, internet is een open medium, en dat moet ook zo blijven
het wekt straks steeds mee fraude in de hand. en het gaat hierbij om meningen en vrijheid van menings uitingen. het al dan niet deelnemen aan data verkeer op bepaalde site , dat is een besluit van de eind gebruiker.

en die api ? wie beheerd die ? wie zegt mij dat ook die niet gehacked kan worden. ?
de zgn cloud, da's in mijn optiek toch een pc die door iemand beheerd wordt.
en dus benaderbaar is
enne die nfc chip in mn paspoort ? gewoon effe in de magnetron totdat je de lichtflits ziet.
mijn data, mijn verantwoording en dus ook ik bepaal. en niet de overheid of iemand anders

_NooT_ @MicroWhale • 15 december 2022 13:15

En wat nu als dit digitale paspoort / id nu als een bridge zou werken?
Dus ipv dat alle documenten zelf hierin opgeslagen worden, deze juist middels een koppeling verbonden worden met de externe systemen.

Dan zou de app verder nog op een gelijke wijze kunnen functioneren, maar blijft de opslag en verantwoording van de data zelf decentraal.

flossed @MicroWhale • 15 december 2022 22:09

Er is een europees initiatief voor een self souvereign identity waarbij geen enkele informatie gedeeld wordt zonder jouw toestemming. En waarbij al jouw gegevens in de walket opgeslagen is. Initiatief heet essif. En wordt onderdeel van eidas als alles goed gaat. Desalniettemin cancel cultuur + automatisering levert ellende, het is ook onduidelijk welke grenzen bewaakt moeten worden, met gevolg alles is eng, echter de bureacraten dienen zich aan de tijdslijnen van afgesproken deliverables te houden. Dat levert komische situaties op. Zo wordt er letterlijk gezegd ik ben het helemaal eens met het document, echter moet toegeven dat ik het niet helemaal heb gelezen. Blijft een menselijk proces

MicroWhale @flossed • 16 december 2022 08:47

Ik cancel niks, ik lees:
- Essif is een onderzoeksproject uit 2020, waarin o.a. gebruik van blockchain voor SSI onderzocht werd. Met succes, onderzoekers en bedrijven waren er zeer enthousiast over.
- EiDAS regulations zijn aangenomen en laten je DigiD ook in andere lidstaten gebruiken (goed, want gebruikt wat we nu al kennen), maar deze regulations werken niet volgens wat in essif onderzocht is.
- Toekomstig systeem zoals het nu voorgesteld is maakt idd gebruik van een mobile wallet (wel overgenomen uit Essif) + centrale systemen waaruit de informatie opgehaald wordt (helaas dus geen SSI).

Dit laatste betekent dat veranderingen eenzijdig doorgevoerd kunnen worden (lees: niet door jou of met jouw consent). Plus de controle + juiste werking ligt bij de overheid & uitvoerende partij. Dit vind ik een groot risico voor 450 miljoen mensen, want groot potentieel op SPOF (*zie onder).

De gevolgen hiervan kunnen groot zijn:
- verkeerde voorschrift medicijnen wordt naar wallet geladen
- De servers die wallets bedienen krijgen een storing... (die betalingsverkeer af en toe, maar dat is geen overheid....) of werken niet door verkeerde update.
- Beveiliging is niet op orde, waardoor gegevens gekaapt kunnen worden
- Sta je voor het loket om je levensreddende medicijnen te halen, werkt je wallet niet.

_{Btw voor medicijnen is er al een systeem dat goed en efficient werkt. Beetje vreemd dat ze daar nu van af stappen.}

* "Single point of failure". Zoek het eens op. Een ontwerpprincipe dat vermeden wordt in de IT en hier op alle Europeanen voor belangrijke processen toegepast wordt.

flossed @MicroWhale • 16 december 2022 12:07

Ik wilde aangeven met de huidige manier van omgaan in de maatschappij waarbij de cancelcultuur een steeds grotere rol krijgt, is de bedrieiging voor de individu met het verkeerd toepassen van IT alleen maar risicovoller geworden. Ben blij dat je leest. In het algemeen zijn er verschillende zaken die naast elkaar lopen in zowel het commentaar als het artikel. Er is een EIDAS 2014 spec die de europeese dgitale ID van de gebruiker beschijft en hoe die gebruiker de id kan gebruiken om documenten te ondertekeken op een manier dat een ondertekend document ook erkend wordt door de rechtbank, Dit is 29 september 2018 verplicht gesteld voor alle overheidsinstellingen in europa. in november 2021 is een amendement gemaakt op de 2014 regulering, waarin beschreven wordt dat er een europeesche citizens wallet moet komen met voor europa digitale credentials voor de burgers van europa, die amendement is nog niet geimplementeerd, dat zal nog wel een tijdje duren (wellicht pas vanaf 2030). Op dit moment worden verschillende methoden voor de digitale credentials onderzocht, een van de mogelijkheden is de W3C standaard voor VC's 1.1. deze manier van credentials ondersteund SSI. en wordt gebruikt in context van ESSIF. voor een usecase van diplomas en binnen kort andere. Dit is echter nog niet in productie. Binnen de EIDAS wergroepen wordt ook een ander fomaat voor offline credentials onderzocht voor rijbewijzen. de credentials zelf worden door instanties uitgegeven die daar voor verantwoordelijk zijn, zoals MOJO voor concertkaartjes van concerten die het organiseerd, of de RDW voor kentekenplaten van autos. Vanuit dit aspect zal het centrale character ongewijzigd blijven. Het wordt pas eng als alle verschillde RDWS van lidstaten in een systeem alle kentekens die in europa uitgegeven worden met de informatie van de eigenaren bijgehouden wordt ( is geloof ik al het geval op albanie na oid). dat is natuurlijk nog erger als het voor alle mogelijke documenten moet gaan geleden. En dat is dus niet het doel van EIDAS. Fouten kunnen nu ook optreden, en daar zijn al voorbeelden van (data leaks), dat zal denk ik ook wel blijven. echter het voorstel is dat de verzamel plek niet een centraal systeem is maar de wallet van de gebruiker, en de gebuiker moet expliciet toestemming geven aan iemand om die informatie te zien. het is zelf zo dat het systerm claims ondersteund zoals in het artikel vermeld is zodat niet alle gegegeven van een document getoond hoeft te worden, alleen de gegevens die gevraagd worden, of die de gebruiker wilt delen.

Dat gezegd hebben, dat is de 'promise', tussen wat er nu bedacht is en hoe het er uit gaat zien zitten nog veel beslissingen, en het zijn die beslissingen waarop kritisch gereageerd moet worden. De nederlandse delegatie heeft bijvoorbeeld correct en terecht kritisch gereageerd op het voor stel van de huidige architectuur voorstel van de citizens wallet, dat er niet genoeg tijd is geweest om alles nauwkeurig te bestuderen en bekritiseren indien nodig. Overigens deze hele circus volgt een UN/VN resolutie om te zorgen dat iedereen op deze aarbol per 2030 een digitale ID heeft. https://unstats.un.org/le...s/UN-Strategy-for-LIA.pdf

Handelingen @MicroWhale • 16 december 2022 16:23

https://id2020.org/

Benjamin- @MicroWhale • 17 december 2022 12:56

Bij een goede implementatie, zie ik alleen maar voordelen. Namelijk minder info delen. Het moet geen tracking systeem worden waarbij de overheid weet dat je bij de gall en gall was met een uitdraai van de kassabon.

Zoals altijd moet privacy voorop staan, hier is de potentie om deze te vergroten, maar natuurlijk is er ook een risico dat deze zal verkleinen.
Dit is iets wat we goed in de gaten moeten houden.

Verder zou ik het vanuit praktische zin erg fijn vinden, want dat betekent het einde van het dragen van een portemonnee. Rijbewijs en pinpas bewaar ik dan thuis, alle 'onzin' passen laat ik in de auto, en dan 20 of 50 euro in het hoesje van je telefoon, en je bent klaar. Identificeren en pinnen natuurlijk via telefoon.

Headblast @MicroWhale • 17 december 2022 21:53

Dit zal ook niet de definitieve road map gaan worden onlangs tijdens het EDi stelsel (soort werkgroep) is er veel geluisterd naar andere kennis instellingen en open source bedrijven.

Kort samengevat, NL zal net als alle andere EU landen een wallet moeten uitbrengen die voldoet aan ebsi standaarden die weer voldoen aan de w3c standaard waarbij de DIF (een stichting die zich inzet dat de data behoort tot de eigenaar) hier een grote rol in speelt.

Mocht voor wat voor reden NL zich niet aan gaan houden dan gaan ze een probleem krijgen.

Voor jou als burger is het heel simpel, als de Spaanse of elk ander EU land hun wallet wel de veiligheid biedt die jij wilt namelijk controle over jou data dan kan je die kiezen en moet NL die credentials kunnen uitgeven aan jou.

Recentelijk hebben ze wel godszijdank gekozen voor VCs en niet MDL (hallo apple en google).. dat had het leven stuk moeilijker gemaakt aangezien die standaarden compleet ruk is en apple heeft dat aardig dichtgetimmerd dus succes als je dan er wat mee wilt.

Kijk maar bv naar hun closed nfc ecosystem daar kan je helemaal niks mee momenteel behalve als je apple zelf bent.

Lang verhaal kort, men is nog druk bezig.

PolarBear @MicroWhale • 15 december 2022 09:01

Ik ben een groot voorstander van digitalisering, maar dit zouden we niet moeten willen. Deze implementatie van Digitale identiteit is in mijn ogen de opmaat naar het bundelen ("de opzet is modulair") van al je identificatie-documenten (paspoort, rijbewijs, tenaamstelling, BKR, etc...). Dit kan leiden tot het besturen (lees: eenzijdig aanpassen) van je rechten vanuit die digitale identiteit. Ofwel: De Paarse Krokodil. Dat betekent dat overheden éénzijdig je identiteit aan kunnen passen én effectief kunnen maken met één klik.

En hoe is het anders dan nu? Anders dan dat je paspoort misschien niet mee veranderd zijn er genoeg systemen waar dat wel in kan. Bijvoorbeeld je paspoort blokkeren waardoor je bij Schiphol niet langs de marechaussee komt. Of een bitje verkeerd zetten waardoor je geen recht meer hebt op kinderopvang toeslag.

Met andere woorden wat wordt er nu wezenlijk anders?

Stangg

@MicroWhale • 15 december 2022 09:24

Even ondersteunen:
https://www.youtube.com/watch?v=xAPjGljGVxw

In principe biedt een singleID met gewaarborgde gegevens veel gemak. Maar ook Google biedt veel gemak, in ruil voor je identiteit en gewoontes.

Als dit niet wordt geïmplementeerd met zware training van gebruikers om hun gegevens-vrijgave niet zomaar te doen, dan hebben we een probleem.

Daarnaast zouden de gegevens -eenmaal vrijgegeven- onder controle moeten blijven van de gebruiker (i.e. er zou een "allemaal, vergeet mij" -knop moeten zijn met een betrouwbaar gevolg, en dit zou regelmatig automatisch moeten worden gedaan of in ieder geval in AVG-periodes)).

We weten van de Jodenvervolging dat een registratie eenmaal gedaan, in de verkeerde handen veel schade kan doen; rampzalige schade.

[Reactie gewijzigd door Stangg op 23 juli 2024 00:28]

sympa @Stangg • 15 december 2022 09:45

Je kan dus de gegevens van de app op je telefoon wissen. Dan is die data weg.
Als je aan iemand hebt verteld dat jij Stan G heet, kan je natuurlijk via de app niks afdwingen rond vergeten van die data.
Hopelijk komt er een een vorm van toegangscontrole zodat onbetrouwbare partijen geweerd kunnen worden.
En hopelijk werpt dat ook een drempel op, ik heb namelijk geen zin om overal mijn echte identiteit achter te laten voor een online accountje. Ze kunnen nu niet vragen om een kopie van ID-bewijs (dan haakt iedereen af) maar met zo'n app is die drempel een stuk lager.
En bij die lage drempel ligt het risico dus.

Mrgrind 15 december 2022 06:21

ik vind het heel zorgwekkend,,,
de corona app(s) waren qua beveiliging ook niet echt denderend

TijsZonderH Nieuwscoördinator @Mrgrind • 15 december 2022 07:43

de corona app(s) waren qua beveiliging ook niet echt denderend

Wat bedoel je specifiek? Je kunt er heel erg veel van vinden maar aan de veiligheid lag het volgens mij toch echt niet...

Anoniem: 1576590 @TijsZonderH • 15 december 2022 15:59

Zowel de CoronaMelder als CoronaCheck apps zelf waren prima qua beveiliging.

De kans om een Bluetooth-exploit tegen het lijf te lopen zal voor de meeste mensen klein zijn, maar ook deze maand waren er weer security patches voor Bluetooth op Android.

Qua privacy was CoronaCheck zelf veel beter dan andere EU-apps, maar de inzet van die app zonder een identiteitsbewijs te hoeven tonen (zelfs niet aan robots) was extreem fraudegevoelig.

En toen er apparaten verschenen om naast de QR-code ook het identiteitsbewijs te scannen, werd privacy alsog ondergraven (van degenen die hun eigen identiteitsbewijs lieten scannen).

Bovendien was CoronaCheck zó privacyvriendelijk, dat intrekken van onterecht uitgegeven vaccinatiebewijzen - in de meeste gevallen - onmogelijk bleek.

Ik vind het hier te off-topic om opnieuw te onderbouwen waarom deze apps (vooral eind 2021) niet effectief waren.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 00:28]

Fox Hound @Mrgrind • 15 december 2022 06:31

Wat ik zorgwekkender vind is dat een Kamermeerderheid blijkbaar tegen is, maar de regering dit er toch doorheen drukt.

Fluttershy @Fox Hound • 15 december 2022 06:58

We zijn verplicht te voldoen aan internationale verdragen en de Tweede Kamer heeft geen rol in het uitvoeren van deze verplichting.

JeroenNietDoen @Fluttershy • 15 december 2022 07:12

We zijn verplicht te voldoen aan internationale verdragen en de Tweede Kamer heeft geen rol in het uitvoeren van deze verplichting.

Ja, eens, maar toch heb ik soms wel eens zoiets van hoever mag dat gaan. Als het gaan om verdragen/afspraken over hoe we gezamenlijk onze digitale overheids informatiesystemen afstemmen, klimaatproblematiek aanpakken of afspraken maken over defensie budgetten, helemaal mee eens. Maar hoever mogen verdragen gaan en tot hoever gaat Nederlands autonomie? En dan doel ik meer op hoever dit direct het Nederlands individu mag/kan raken.

Een heel overdreven extreem voorbeeld: als men in Brussel besluit dat Nederland teruggegeven moet worden aan de natuur. Deltawerken afbreken en de natuur zijn gang laten gaan. En heel het Europees parlement stemt daarmee in. Hebben wij als Nederlandse individuen dan nog wat te zeggen over ons eigen huis en haard?

[Reactie gewijzigd door JeroenNietDoen op 23 juli 2024 00:28]

Fluttershy @JeroenNietDoen • 15 december 2022 07:20

Maar hoever mogen verdragen gaan en tot hoever gaat Nederlands autonomie?

Er is geen limiet gesteld of anderzins afgebakend.

Blokker_1999

Politiek en recht
Overheid
Nederland
Privacy

@Fluttershy • 15 december 2022 09:10

Natuurlijk zijn die limieten er wel. Er zijn afspraken over welke domeinen de EU macht heeft en welke niet. En je zal daarin nooit iedereen blij kunnen maken. Zo heeft de EU bijvoorbeeld niets te zeggen over gezondheidszorg en waren er tijden de afgelopen Corona crisis dan ook vele mensen die zich afvroegen waarom we daar zo weinig beslissingen op Europees niveau nemen. Wel, dus omdat dat geen bevoegdheid van de EU is.

Remzi1993 @Blokker_1999 • 15 december 2022 12:38

Het vreemde is dat er in de grondwet staat dat internationale verdragen (ja ook EU dingen) dus directe werking hebben in NL, dit is namelijk heel bijzonder in NL, want de meeste anderen landen doen dit niet. Bijvoorbeeld in Duitsland is de grondwet de hoogste wet en hebben internationale verdragen geen directe werking (daarom worden EU verdagen eerst in een wet geschreven in Duitsland en hoeft dit voor bepaalde EU verdagen niet (om directe werking te hebben moeten ze wel specifiek genoeg zijn om uitgevoerd te worden natuurlijk).

Het gaat hier in NL zelfs zo ver dat rechters hier een toetsingsverbod hebben maar wel toetsen aan internationale verdragen, zoals bijvoorbeeld EU verdrag mensenrechten. Zo ver gaat het in NL.

Citaat:

De Nederlandse grondwet heeft voor dit specifieke internationale recht regels opgesteld. In artikel 94 regelt de grondwet dat verdragsbepalingen die zich richten op personen in plaats van op staten - de zogenaamde ‘ieder verbindende bepalingen’ – voor nationale regels gaan zonder dat de nationale staat daar nog tussen hoeft te komen (er is dus ‘rechtstreekse werking’). Vertaling van deze bepalingen naar nationale wetgeving - vaak omslachtig - is in Nederland dus niet nodig. Wel eist de grondwet dat het verdrag door het Nederlandse parlement is goedgekeurd en dat de internationale regels voldoende bekend zijn gemaakt.

Bronnen:
https://www.denederlandse...internationale_rechtsorde
https://www.denederlandse...vkl1oucfq6v2/vgrnd9dqjxze

[Reactie gewijzigd door Remzi1993 op 23 juli 2024 00:28]

Fluttershy @Blokker_1999 • 15 december 2022 11:23

Maar die limieten staan niet in de grondwet.

wild_dog @Fluttershy • 18 december 2022 22:43

Het is ook deels een logisch gevolg.

De overheid heeft alleen bevoegdheden zoals vastgelegd in de grondwet, en kan (als zij zich aan de wet houd wat een rechter kan afdwingen) niet handelen in strijd met de grondwet.

Als de overheid dan internationale verdragen afsluit, kan het dus ook geen verdragen afsluiten die strijdig zijn met de grondwet, want de overheid had de bevoegdheid niet om een dergelijke afraak te maken, want dat is handelen in strijd met de grondwet.

Dit is een beetje het 'nationale grondwet gaat voor Europese wetgeving' wat Polen een paar maanden terug liet horen, maar dit is een logische conclusie van het feit dat een overheid gebonden is door de grondwet. Polen is daar niet uniek in, Duitsland lijkt ook al de zelfde stelling te hebben. Er word echter altijd getracht om wetgeving in goed overleg te doen, en deze kwestie word waarschijnlijk om diplomatieke redenen ter bevordering van samenwerking een beetje genegeerd.

Kan je je voorstellen wat de mogelijkheden zijn als dit niet het geval was? Artikel 11 van de grondwet is de onaantastbaarheid van het menselijk lichaam, waarmee bijvoorbeeld slavernij verboden word. Als de regering dan een handelsakkoord sluit waarin staat opgenomen dat een ander land arbeidskrachten van Nederland mag eisen zonder mogelijkheid van weigeren van de individuen in kwestie, feitelijk dus mogelijk maken dat een ander land Nederlandse slaven eist, dat moet maar gewoon mogelijk zijn omdat het een internationaal verdrag is?

[Reactie gewijzigd door wild_dog op 23 juli 2024 00:28]

JeroenNietDoen @Fluttershy • 15 december 2022 07:43

Misschien omschreef ik het niet helemaal goed, post aangevuld

Fluttershy @JeroenNietDoen • 15 december 2022 08:46

Het feit blijft nog steeds dat er geen limieten worden gesteld in de GW.

Bunga @JeroenNietDoen • 15 december 2022 09:54

Dat heb je gewoon op ieder bestuursniveau. De nederlandse overheid kan dit ook beslissen en wat hebben dan de mensen die in de regio wonen nog wat te zeggen over hun eigen huis en haard?

Dat is volgens mij altijd het grote discussiepunt. Je kan verschillende bestuurslagen hebben (gemeente, provincie, land, continent, westerse wereld, totale wereld) maar welke bevoegdheden krijgen die en elke laag moet de stem van de bevolking dragen die onder hun geografische bevoegheid valt dus altijd rechtstreeks verkozen door het volk. Ben je het niet eens met het bestuur dan kan je volgende keer voor een ander stemmen.

Het begint inderdaad een probleem te worden als de bevoegdheden niet goed geregeld zijn voor deze verschillende lagen. Een groter probleem is als je geen rechtstreekse stem kan uitbrengen. Bijvoorbeeld zoals voor de europese commissie. We hebben wel voor de europarlementsleden gestemd die de leden van de eu commissie goedkeuren maar dat neemt niet weg dat we geen stem hebben kunnen uitbrengen. Te complex en internationale belangen roept men dan op als belangrijkste argument. Vanaf een bepaald niveau zijn we te dom blijkbaar.

IStealYourGun @JeroenNietDoen • 15 december 2022 11:13

Zoals @Blokker_1999 al zei, het beperkt zich toch de bevoegdheden van de EU.
Daarnaast heb je twee organen die moeten instemmen met nieuwe Europese richtlijnen en vorderingen. Het Europees Parlement en De Raad (van Ministers) waar alle minister van dat land zijn vertegenwoordig.

Bij dat laatste moet er unanimiteit zijn of een meerderheid onder ministers die bovendien minstens 65% van alle Europese burgers vertegenwoordigen. België vertegenwoordig 2,58%, Nederland 3,94%.

Nu mag de Nederlanse kamer geen voorstander zijn, het is wel Neelie Kroes en (oh ironie) de VK die groter voorstander waren van eIDAS.

RRRobert @Fluttershy • 15 december 2022 08:03

We zijn verplicht te voldoen aan internationale verdragen en de Tweede Kamer heeft geen rol in het uitvoeren van deze verplichting.

De Tweede Kamer heeft zeker wel een rol, en nog een belangrijke ook. Het is de plicht - en de primaire taak - van de Tweede Kamer om onze regering te controleren. Dus als de regering een maatregel wil doordrukken omdat 'internationale verdragen dat verplichten', terwijl er in de uitvoering van zo'n maatregel de nodige haken en ogen of tekortkomingen zitten, dan is het aan de Tweede Kamer om daar de verantwoordelijke Minister of Staatssecretaris over op het matje te roepen en eventueel te berispen of zelfs weg te sturen.

morpheus-nl @Fluttershy • 15 december 2022 10:14

Ze mogen kiezen een aangenomen motie niet uit te voeren. Wat ze hier echter deden was niet zeggen dat ze dat gingen doen, en op een vrijdagavond aan de EU laten weten dat we gewoon lekker meedoen.

Niet zo vreemd dat een groot deel van de kamer daarna woest was. Echt ongekend en totaal zonder schaamte/respect.

Ntr- @Fluttershy • 15 december 2022 09:23

Wij zijn helemaal niet verplicht om aan internationale verdragen te voldoen zie bv Amerika.
Als Nederland kunnen we gewoon zeggen dat we er niet mee aan werken als het schade brengt aan ons.

Wij zijn verantwoordelijk wat er in ons land gebeurd en niet door aantal ongekozen technocraten in Brussel die niet eens een affiniteit heeft met het Nederlandse volk / Belang.

Dat we lid zijn van de EU betekend niet dat we een provincie zijn, daarnaast hebben we nog altijd een veto recht. Kijk maar naar Polen waarbij zij vinden dat hun eigen wetten boven de regels van EU staat (volkomen terecht).

MarnickS @Ntr- • 15 december 2022 10:24

Kijk maar naar Polen waarbij zij vinden dat hun eigen wetten boven de regels van EU staat (volkomen terecht).

Volledig terecht? Ze willen zelf onderdeel zijn van de EU, dus dan hebben ze zich ook maar aan de regels die daarbij horen te houden.

Fluttershy @Ntr- • 15 december 2022 13:03

Wij zijn helemaal niet verplicht om aan internationale verdragen te voldoen zie bv Amerika.
Als Nederland kunnen we gewoon zeggen dat we er niet mee aan werken als het schade brengt aan ons.

Wie A zegt moet ook B zeggen. Natuurlijk kan je internationale verdragen opzeggen op het moment dat je er simpelweg geen zin meer in hebt. Uiteindelijk is een verdrag een afspraak tussen politici en we weten hoe betrouwbaar die groep collectief is...

Dat we lid zijn van de EU betekend niet dat we een provincie zijn, daarnaast hebben we nog altijd een veto recht. Kijk maar naar Polen waarbij zij vinden dat hun eigen wetten boven de regels van EU staat (volkomen terecht).

Polen wil wel de lusten maar niet de lasten; wees dan eerlijk en verlaat de EU.

laptopleon @Ntr- • 15 december 2022 10:27

Volgens de regels die Nederland zelf getekend heeft, moeten we toch echt (ik noem maar wat) stikstof terugdringen, ook al wil Nederland dat anders invullen dan de EU nu voorschrijft.

En ja, dat kun je weigeren of aan je laars lappen zoals sommige landen, maar dat heeft dan wel consequenties.

Ntr- @laptopleon • 15 december 2022 10:42

Welke consequenties? Uit de EU worden gezet? Minder geld ontvangen (wij zijn de grootste betaler aan EU). In meeste gevallen zijn we voordeliger uit om helemaal geen geld uit te geven aan de nutteloze projecten vanuit de EU maar beter te besteden aan onze eigen volk (zoals stijgende armoede etc)

laptopleon @Ntr- • 15 december 2022 10:45

Preaching to the choir.

Ik ben ook geen EU-fan. Alleen zijn ‘we’ blijkbaar (nog) niet bereid het lidmaatschap weer af te bouwen tot een gezond niveau.

Kevinp @Fluttershy • 15 december 2022 08:12

En dat noemen ze democratie, een niet gekozen volksvertegenwoordiging die wetten oplegt.

Fluttershy @Kevinp • 15 december 2022 08:38

De internationale verdragen zoals genoemd in artikel 94 van de GW zijn toentertijd gewoon netjes door de Tweede Kamer heen gekomen.

Kevinp @Fluttershy • 15 december 2022 09:09

Tja, dat geld voor alles, maar als je als tweede kamer eerst zegt, dit willen we niet.

Maar vervolgens als je moet stemmen geen ruggengraat toont en toch voor stemt dan is de vraag in hoe verre onze democratie nog werkt.

arbraxas @Kevinp • 15 december 2022 23:05

Niet, door GL en PVDA is ook net overstag gegaan met de pensioenen. Dat word de duurste blunder in de historie van Nederland.

Blokker_1999

Politiek en recht
Overheid
Nederland
Privacy

@Fluttershy • 15 december 2022 09:06

Maar je beslist als onafhankelijk land nog altijd zelf welke verdragen je aangaat en daarmee welke macht je mogelijks afgeeft aan een hogere macht. De Tweede Kamer heeft op een gegeven moment ingestemd met het toetreden tot bijvoorbeeld de Europese Unie en wist vooraf wat de gevolgen daarvan zouden zijn. Dan kan je achteraf niet komen klagen over elke beslissing die jouw als burger tegenvalt.

MrE @Blokker_1999 • 15 december 2022 09:38

Klagen mag altijd. Goddank dat de EU hier geen internationaal verdrag voor heeft opgelegd.
Dat je als burger niet mag klagen over zaken die in het verleden zijn beslist lijkt mij niet correct. Je hebt het recht om dit iedere verkiezing weer te doen en zelfs tijdens een regeerperiode, als je hiervoor de nodige handtekeningen verzameld hebt.
Ik kan immers niet voorspellen wat de consequenties zijn van een wetgeving over een jaar of tien.
Want alhoewel ik mij bij dit voorstel zorgen maak over 'data out of place' maak ik mij meer zorgen over het feit dat ik dadelijk op Tweakers niet meer bekend zal zijn als MrE maar met mijn daadwerkelijke naam.
En nu zal dat bij Tweakers niet zo'n issue zijn, maar Twitter? PornHub? Die hoeven die gegevens niet te hebben of openbaar te maken.
Maar ik kan, afgaand op de continue discussie over online pesten, zomaar voorstellen dat het niet meer toegestaan wordt om een username te kiezen maar alleen nog maar de naam die op je ID staat te mogen gebruiken.

Want als ik nu mijn schouders ophaal over dit voorstel kan het niet zo zijn dat mijn kleinkinderen later te horen krijgen dat ze niet mogen klagen omdat het ooit beslist is in een internationaal verdrag?

Omnicron1 @Fluttershy • 15 december 2022 12:50

Onzin !
wie verplicht nou wie ?
Ja alle brave volgers.
en maar van ellereizaken dumpen op internet.
wie weet wordt je straks nog vervolgd om het uitdragen van een mening

ShadLink @Fox Hound • 15 december 2022 06:36

Gewoonweg omdat het door Brussel wordt opgelegd. Jup, "Nederland" is niet meer dan een provincie van de EU helaas.

gevoelig @Fox Hound • 15 december 2022 08:48

Helemaal mee eens. Daarnaast vraag ik me af in hoeverre je kunt weigeren hieraan mee te doen als de grote massa dit geen probleem vindt. Dat zou je behoorlijk kunnen belemmeren.
Ik vergelijk het met de vingerafdruk weigeraars die aan Europa gekluisterd zitten sinds de verplichting op het paspoort.

Retrospect @Fox Hound • 15 december 2022 11:42

Zeer zorgwekkend idd. De volksvertegenwoordiging geeft in meerderheid aan hier niets in te zien. De minister geeft eind vrijdagmiddag in een brief aan geen uitvoering te geven aan de motie. En zet het kruisje in hetzelfde weekend. Vervolgens blokkeren de coalitiepartijen een debat over deze gang van zaken. Met democratie heeft dit niets meer van doen en Nederland glijdt steeds verder af.

Iblies @Fox Hound • 15 december 2022 12:03

Kamermeerderheid blijkbaar tegen is, maar de regering dit er toch doorheen drukt.

Dit klopt niet.
Als de wetgeving in Brussel op tafel kwam, heeft NL de mogelijkheid om voor of tegen te stemmen en die dubbele mentaliteit zie je heel vaak terugkomen.

In Brussel wordt vaak ja geknikt zonder mandaat,
hier in de Kamer wordt er theater gespeeld en komt er ineens kritiek, zelfs van de eigen partijen.

Een recent voorbeeld is vb om alle betalingen van boven €100 centraal te registreren met als drogreden terrorisme/witwassen waar verder geen rapporten en onderzoeken naar voren komen die dat onderschrijven,

gaan we iets verder terug,
alchohol in de winkels verkopen van oa kleding,
https://www.npostart.nl/pointer/18-09-2022/KN_1729986

Je kunt niet volhouden dat iemand van de eigen partij een eigen weg inslaat kwa wetgeving zonder de ondersteuning van de rest….
en dat die persoon in die partij blijft.

Zer0 @Iblies • 15 december 2022 22:51

Als de wetgeving in Brussel op tafel kwam, heeft NL de mogelijkheid om voor of tegen te stemmen en die dubbele mentaliteit zie je heel vaak terugkomen.

Het kan natuurlijk net zo goed zijn dat terwijl Nederland niet instemt, andere landen er anders over denken. Nederland is niet de enige partij in Brussel...

SVMartin @Mrgrind • 15 december 2022 06:29

Bron?

hilgo @SVMartin • 15 december 2022 08:49

Ik denk dat hij hier op doelt: https://www.ad.nl/tech/va...rijgen-door-lek~a4bb3080/ of deze: https://www.rtlnieuws.nl/...meldingen-privacy-android

Zie reactie hieronder van ivojansch. Typisch gevalletje niet verder lezen dan de kop.

[Reactie gewijzigd door hilgo op 23 juli 2024 00:28]

ivojansch @hilgo • 15 december 2022 09:06

De eerste link betrof fraude waarbij personeel valse informatie invoerde. De app kan nog zo veilig zijn, als iemand vaccinaties in het systeem zet zonder de spuit in de arm te doen, dan is daar vanuit de app weinig aan te doen. De tweede link betrof een bug in het Android besturingssysteem. CoronaMelder werd toen stil gezet voor de zekerheid totdat Google het had opgelost.

hilgo @ivojansch • 15 december 2022 09:23

Je hebt helemaal gelijk, ik had voorbij de koppen moeten lezen maar ja, druk. Zal het even aanpassen.

Montaner 15 december 2022 07:36

Waarom weer zelf maken? Ga de samenwerking aan met IRMA of Datakeeper bijvoorbeeld. Dat zou ook helpen om het gat wat DigiD slaat te verhelpen, en niet meer enkel voor (semi)overheid te kunnen gebruiken.

Deveon @Montaner • 15 december 2022 08:00

Niet alleen DigiD maar iDin kan hier ook eenvoudig voor ingezet worden. Echter gezien in de naam “wallet” zit is wel duidelijk dat hier in de toekomst meer meer moet gaan gebeuren (CBDC)

ivojansch @Deveon • 15 december 2022 09:11

Digid is een authenticatie middel dat alleen bruikbaar is voor instanties die gerechtigd zijn om je bsn te verwerken. Daarmee helaas niet geschikt om bijv bij een willekeurige site aan te tonen dat je 18+ bent zonder andere gegevens te delen.

Deveon @ivojansch • 15 december 2022 10:04

En waarom zouden beide platforms niet uitgebreid kunnen worden met deze functionaliteit? iDeal is ook niet zo maar voor iedereen beschikbaar en gaat vaak via tussenpartijen zoals Mollie. Deze commerciële stap ertussen heeft in het verleden veel goeds gedaan voor onze financiële sector. Bankieren is bijna nergens zo voordelig als in Nederland ondanks uitgebreide Know-Your-Customer.

Wat de geschiedenis ook aangetoond heeft is dat wanneer alles bij de overheid ligt er meestal weinig innovatie is en de gebruikerservaring ook zeer beperkt.

Omnicron1 @ivojansch • 15 december 2022 12:52

exact !
Maar er zijn helaas nog steeds sites die er naar durven te vragen.
En ik zou wel eens willen weten hoeveel argeloze internetters het dan ook invullen .
Met alle gevolgen van dien

sympa @Deveon • 15 december 2022 09:53

"Wallet" is portefeuille. Op een iPhone kan je daar allerlei kaartjes in stoppen, van je bioscooppasje tot je creditcards.
Daar lijkt dit ook op. Er kan een "ik ben A. Noniem maar wel ouder dan 18" pasje in, maar ook een pasje met je sofinummer.

Deveon @sympa • 15 december 2022 10:07

Goed punt, ik vertaalde het zelf naar portemonnee maar in het Engels wordt hier geen onderscheid in gemaakt.

Blokker_1999

Politiek en recht
Overheid
Nederland
Privacy

@Montaner • 15 december 2022 09:15

Omdat niet iedereen wenst dat er een externe partij bij betrokken is. Elke app die voldoet aan eIDAS kan in de toekomst gebruikt worden, ongeacht wie de maker er van is. Je moet alleen ervoor zorgen dat je identiteit kan gekoppeld worden aan die app.

Het Belgische Itsme bijvoorbeeld is reeds geaccrediteerd als een eIDAS app, ondanks dat het niet van de overheid komt. Toch zal de Belgische overheid in 2023 met een eigen alternatief komen.

Headblast @Blokker_1999 • 15 december 2022 09:25

Elk EU land zal met een wallet moeten komen aangezien dat nu afgesproken is die eIDAS 2.0 compliant is. Mooie is wel dat je straks bv. als nederlander de wallet van Spanje (of een ander land) kan gebruiken met je NLse credentials mocht die betere UI/UX hebben.

Headblast @Montaner • 15 december 2022 09:23

Beide zijn echt slechte oplossingen, Datakeeper is niet meer opensource, gebruikt geen standaarden meer en het "blockchain" gedeelte is eruit gegooid.

Irma is afhankelijk van eigen nodes die je als instantie moet gaan draaien, zeggen dat ze open standaarden gebruiken maar dat doen ze ook niet.

Komen straks wel aantal opensource wallets uit die wel op w3c, dif en ToIP standaarden zitten waardoor er tenminste wat beweging is op dit gebied.

denan @Headblast • 16 december 2022 11:22

Eigen nodes? Issuers bedoel je?

IRMA kent issuers en verifiers. Issuers delen credentials uit en draaien bij voorkeur bij de verstrekkende partij. Dit wil je ook aangezien er anders een privacy hotspot ontstaat doordat IRMA zowel de Keyshare server (pin verificaties) als de issuers zou draaien. Daarmee zijn gebruikers te linken.

Verifiers draaien bij partij die credentials/attributen wil gebruiken. Maar er is ook een managed oplossing (IRMAconnect).

Qua open standaarden is er veel gebeurd de afgelopen jaren. IRMA is aan het kijken naar VC en mDL en draait zelf Idemix (met een crypto extensie). Die standaarden zijn nog wel een issue, niet alles is even volwassen en onderling elkaars crypto begrijpen blijft een uitdaging. Ook verschuift er veel. Na de recente shift van de EU wallet naar mDL is VC opeens weer een stuk minder belangrijk geworden. Ze houden bij IRMA die ontwikkelingen scherp in de gaten en kijken hoe ze dat in de app en het ecosysteem kunnen integreren.

Headblast @denan • 16 december 2022 15:54

Thanks voor je uitleg, had misschien moeten vertellen dat ik bij het EDI stelsel betrokken ben en al tijdje rond loop in de SSI space. Als je met een van de IRMA mensen zit dan komen er zaken uit waar onze community in ieder geval niet zo blij van worden. Dat kan veranderen als ze nu een 360 graden draai doen en ook echt richting open standaarden gaan.

Wat betreft Issuers die moeten gewoon bij de verstrekkende partij liggen, niet bij een ander. Zou wat zijn als de ene organisatie de credential uitgeeft en men dood leuk je public en private key laat managen door een andere organisatie die er van alles mee kunnen.

Het verleden heeft wel laten zien wat voor uitkomsten dat kan hebben.

De MDL lobby heeft recentelijk “verloren” aangezien de wallets nu voor de openID4SSI specs hebben gekozen en gelukkig maar eerlijk gezegd. Dit ligt ook meer in lijn met doelstellen van EU (ebsi) en de Amerika’s (us en canada) Check anders deze link van edi stelsel: https://vimeo.com/781619522

Wat betreft elkaar infrastructuren begrijpen zouden ze eens naar presentation exchange moeten kijken bij DIF.

Grote jongens zoals oAuth hebben die ook gebruikt voor hun oplossingen en is gedoneerd door een Nederlandse club.

Er is nog wel veel werk aan de winkel voor de overheid want afgelopen tijd maakte best wat fouten zoals centraal zaken gaan opslaan ipv bij de holders.

denan @Headblast • 16 december 2022 17:00

Thanks voor je uitleg, had misschien moeten vertellen dat ik bij het EDI stelsel betrokken ben en al tijdje rond loop in de SSI space. Als je met een van de IRMA mensen zit dan komen er zaken uit waar onze community in ieder geval niet zo blij van worden. Dat kan veranderen als ze nu een 360 graden draai doen en ook echt richting open standaarden gaan.

Ik ben benieuwd welke punten dan precies (full disclosure: Ik ben de PO van IRMA). Op alle fronten kijken we naar de open standaarden en de mogelijkheden die daarbij ontstaan. Waarbij het wel zaak is dat resources altijd beperkt zijn. We kunnen niet *alles* tegelijk bouwen.. dus keuzes moeten gemaakt worden. Het hangt er ook van af hoe de adoptie van IRMA verloopt. Hoe meer mensen in het ecosysteem.. hoe makkelijker het is om resources vrij te spelen voor nieuwe features.

De focus voor nu ligt op een nieuwe UX en het afronden van de techische basis voor eIDAS "hoog". Parallel daaraan kijken we wat de volgende stappen zijn zodat we na de lancering van de nieuwe app meteen door kunnen pakken.

Headblast @denan • 17 december 2022 21:08

Vooral in het begin was er bij SIDN/Irma een houding tov VC, dids en met name blockchain gebruike als onafhankelijke laag voor de transparantie en authenticiteit.

Bij laatste edi stelsel presentatie van jullie werd het duidelijk dat jullie zoals je al aangaf toch daar naar gaan kijken maar nog niet de open specificaties volgen of dit geïmplementeerd hebben.

Kan goed begrijpen dat door tijd/druk etc. daar nog niet aan toe komen maar vraag mij dan wel af wat jullie plannen zijn bij gemeentes/overheidsinstanties wanneer dat wel geïmplementeerd is en jullie die moeten overzetten.

denan @Headblast • 18 december 2022 13:13

De W3C VS standaard is jarenlang onvolwassen geweest en stond daardoor ook veel lager op de agenda dan andere zaken (voornamelijk compliant worden aan eIDAS 'hoog' en het versterken van security maatregelen). Nog steeds is VC niet de heilige graal, je blijft uitdagingen hebben mbt geissuede attributen over verschillende ecosystemen. VC implementeren wil niet meteen zeggen dat alles interoperabel is, daarvoor zul je ook moeten zorgen dat je crypto door iedereen begrepen wordt. In de basis praat IRMA Idemix. Dat is de kern van de architectuur en extensies zullen daarmee om moeten kunnen gaan. Daarbij is technisch vaak alles mogelijk, maar is het niet altijd gewenst (of userfriendly).

We zien wel veel verschuivingen de laatste tijd en VC (en mDL/etc) staan op onze lijst en we zijn er actief mee bezig. EBSI heeft een sterke lobby maar blockchain is ook slechts een element in de keten. En niet by default de beste oplossing voor elk probleem.

De LSP's die nu gevallen zijn hebben natuurlijk wel deze elementen in zich. Dus voor ons een mooie gelegenheid om dit verder uit te werken in een praktische oplossing. Daarbij zie ik het grote voordeel van IRMA ook juist in de openheid/transparantie. Iedereen kan meediscussieren en features aandragen, al dan niet met eigen code. Daarbij zie je nu als voorlopers voor een VC implementatie ook al een paar PR's in de wachtrij staan bij ons vanuit externe developers.

Headblast @denan • 18 december 2022 14:26

Ik snap je sentiment maar jarenlang is overdreven. In het begin was de focus vooral oke wat gaan we doen.

Vooral Canada en US trokken die kar en eerlijk gezegd was het ook niet zover gekomen zonder hun.

Inhoudelijk kan je naar het volgende kijken:

https://identity.foundation/presentation-exchange/

Specs voor uitwisselen van VCs zonder gezeik.

Opensource componenten om het te implementeren:

https://sphereon.com/solu...on-exchange-with-siop-v2/

En deze ken je waarschijnlijk ook wel:

https://github.com/tno-ssi-lab/eassi-gateway-backend

Ben het helemaal mee eens dat blockchain een onderdeel is maar jij weet ook dat Vcs of mdl ook geen blockchain nodig hebben om te gebruiken dus de technologie als VC nu niet gebruiken is naar mijn mening een gemiste kans.

Wel interessant om nu weer keer wat van jullie te horen. Zal het blijven volgen

Cebby

@Montaner • 15 december 2022 10:09

Ik zou zeggen dat ze dat al gedaan hebben. Als ik naar het ontwerp van deze app kijk dan zie ik eigenlijk 1:1 de IRMA app. Kaarten in een wallet, een qr-code scanner en een confirmatiescherm. Zelfs het lock slotje in de bovenhoek.

En wat blijkt? Een van de committers op het demo project heeft ook commits in IRMAmobile zitten. En dat is toevallig ook in Flutter gebouwd

denan @Cebby • 16 december 2022 11:18

Dat een van de oorspronkelijke dev's van IRMA nu aan deze app werkt wil niet zeggen dat er een samenwerking is tussen IRMA/Datakeeper en de overheids applicatie. Verder is de functionaliteit hetzelfde.. en dat beperkt natuurlijk je UX redelijk

Volgens mij zou iedereen dit juist graag willen maar gaat de overheid het zelf doen.

DutchEZmoder 15 december 2022 08:43

Ik dacht dat dit slechts een complottheorie was. Dat de corona app een eerste stap was om "ons" hieraan te laten wennen. (Die app heeft nooit op mijn telefoon gestaan) En nu dus een digitaal paspoort die ons wordt opgedrongen door een ander land. Slechte ontwikkeling, helemaal omdat je dus niet weet wat er met jouw gegevens wordt gedaan en omdat de beveiliging van digitale gegevens altijd gehackt kunnen worden. En dat gebeurd nogal eens in Nederland...

Blokker_1999

Politiek en recht
Overheid
Nederland
Privacy

@DutchEZmoder • 15 december 2022 09:19

Opgedrongen door een ander land? Maak het even. Nederland heeft zelf beslist om bij de EU te komen, dat is hen niet opgedrongen. Maar weet je wat, doe een Brexit, trek je terug uit 1 van de grootste markten ter wereld. Sluit je grenzen opnieuw en sluit je op in je eigen land. Maar ga misschien even met wat mensen over het kanaal praten, zien hoe gelukkig ze daar zijn.

Het "paspoort" wordt je ook niet opgedrongen, het is nog altijd je eigen keuze om ermee aan de slag te gaan. Er zijn al jarenlang wettelijke beperkingen die vandaag niet of moeilijk afdwingbaar zijn net door het ontbreken van zo een digitaal paspoort. Ik zie dit dan ook niet noodzakelijk als een slechte ontwikkeling.

Andros @Blokker_1999 • 15 december 2022 09:27

Toen Nederland bij de EU kwam was het nog de EGKS. De Benelux is een voorloper van wat de EU had moeten zijn, een economische samenwerking waar alle lidstaten baat bij zouden hebben. Echter zien we een ander soort EU sinds 2004, een steeds verder uitdijend ondemocratisch instituut waarvan je je echt kunt afvragen wat de toegevoegde waarde van jongere lidstaten is voor de leden van voor 2004. Het oosten van Europa vaart er wel bij, hier ligt dat toch echt anders. Nederland is destijds niet bij een EU gegaan wat die EU vandaag is.

sympa @Andros • 15 december 2022 09:57

Als de EU meer dingen op zich neemt (bevoegdheden uitbreidt) is dat altijd op basis van een stemming. En alle landen (ook Nederland) moeten dan vóór zijn. Op basis van unanimiteit dus.
Dus ja, Nederland kiest hier wel degelijk voor.

Omnicron1 @Blokker_1999 • 15 december 2022 13:04

Toch ! voorzichtigheid is toch echt de moeder in je digitale porcelijnen datakast !

Bladerider 15 december 2022 07:02

Tot op zekere hoogte kan ik me hier wel in vinden.

Heb al vaker dan eens een kopie/scan van mijn ID-kaart moeten verzenden via mail of website en dat zit me dan toch niet helemaal lekker, voornamelijk i.v.m. alle (mis)bruikbare gegevens die dat bevat....

Met een ''Digi-pas'' zou je alleen de specifiek benodigde gegevens kunnen delen... (en er dan dus niet meer een JPG, met je hele hebben en houden, ergens op een server komt te staan)
Het is natuurlijk wel afhankelijk van de mate van beveiliging die wordt toegepast in zo'n app om je data te versleutelen e.d......

Finger @Bladerider • 15 december 2022 08:03

Het probleem dat ik er mee heb is niet wat die sites van mij zien maar wat de overheid gaat opslaan over wat ik prive doe op sites

J_van_Ekris @Finger • 15 december 2022 08:33

Dat ligt echt aan de implementatie. Met IRMA (ontworpen door prof Bart Jacobs als proof of concept) krijg je attributen die ondertekend zijn door een instantie, maar ben jij het die de informatie deelt en weet de ondertekenaar niets over het gebruik. Dus zoals je bij een slijterij nu je rijbewijs laat zien waarmee je zegt: kijk, ik ben boven de 18 want dit RDW vindt dat, zul je dan bijvoorbeeld een attribuut kunnen presenteren met de digitale handtekening van de RDW. Een slijterij zal dan alleen de public key van de RDW moeten ophalen, maar die hoeft niet eens te weten voor wie dat gebeurt.

Als men bij het ontwerp goed nadenkt dan is dit geen probleem.

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 00:28]

NielsFL @J_van_Ekris • 15 december 2022 09:14

Maar hoe voorkomen we hier het gedoe dat we met de QR code hadden? Dat de NL versie het mooi voor elkaar heeft en je volledige naam niet toont, maar versies in andere landen dat wel doen?

COVID19 is nu gelukkig voorbij, maar deze wallet gaat natuurlijk nooit meer weg en zal op enig moment geheid overgaan in een EU-versie.

Cid Highwind @NielsFL • 15 december 2022 09:23

Pragmatisch bekeken kan je dan dus het beste er voor zorgen dat je je als land aan de internationale eisen houdt en er strak op toeziet dat er geen feature creep of verkeerde interpretaties van requirements plaatsvindt.

Hier het voortouw te nemen als land biedt in dat opzicht dus mogelijk ook voordelen, omdat je dus een leidende rol kunt nemen in het zetten van de standaard, die andere landen kunnen volgen. Als je afwacht totdat een ander land de toon heeft gezet, wordt dat mogelijk als de norm gezien en kan het zomaar zijn dat bepaalde extra features die niet vereist zijn, internationaal de norm worden.

Eigenlijk was de Nederlandse coronaapp dus vooral een goed voorbeeld hoe het wél te doen. Dus als we dan toch bezig zijn lering uit deze periode te trekken, dan is het wel om hier dus ook duidelijke grenzen te stellen, pragmatisch te werk te gaan met privacy en datazekerheid als belangrijkste waarden.

gevoelig @Cid Highwind • 15 december 2022 15:37

Een andere aanpak is een meer democratische die het geluid uit de samenleving toetst en aangenomen moties niet naast zich neer legt en een luid en duidelijk signaal afgeeft richting Europa.

Omnicron1 @NielsFL • 15 december 2022 12:55

En da's nou net een van apps die ik nooit zal installeren op de telefoon, net zoals linked in en vleeshoek.
gewoon alles blokkeren en in google paystore de updates uitzetten of beter Google pay services uitzetten, want die piekt mbv de covid app naar de fysieke activiteit.
weg met die meuk

ivojansch @Finger • 15 december 2022 09:08

Daarom is het belangrijk dat het open source is. Zodat de overheid niet alleen zégt dat ze dat niet opslaan, maar dat jij dat ook kunt controleren.

lenwar

Smartphones
Nederland
Politiek en recht

@ivojansch • 15 december 2022 12:59

maar dat jij dat ook kunt controleren.

Even m'n aluhoedjesstand: Hoe controleer je, dat de app die ondertekend in de App Store/Play Store staat en daar vandaan gedistribueerd wordt, daadwerkelijk uit die code is geconstrueerd?

Bladerider @Finger • 15 december 2022 12:45

Het probleem dat ik er mee heb is niet wat die sites van mij zien maar wat de overheid gaat opslaan over wat ik prive doe op sites

Dus je hebt liever dat je persoonsinfo op servers staat (weet jij veel waar?!), waar Jan en alleman misschien wel toegang tot heeft?....
Tja, het is maar wat je belangrijk vindt, denk ik dan...
Als de overheid je internet voetafdruk wil ''tracken'' kunnen ze dat denk ik sws al wel doen op andere manieren. (legaal/illegaal)

Misschien dan beter helemaal geen digitale middelen meer gebruiken...

PolarBear @lovly_1 • 15 december 2022 08:48

1. COVID-19 was the test of social responsibility – A huge number of unimaginable restrictions for public health were adopted by billions of citizens across the world. There were numerous examples globally of maintaining social distancing, wearing masks, mass vaccinations and acceptance of contact-tracing applications for public health, which demonstrated the core of individual social responsibility.
bron:
https://www.weforum.org/a...e-and-sustainable-cities/

Denk dat je toch iets aan begrijpend lezen moet doen. En het is een opinie stuk. En welke vrijheden ben je nu kwijt? Er is letterlijk geen enkele restrictie meer in Nederland actief uit de corona periode.

sympa @PolarBear • 15 december 2022 09:49

Bovendien betekent het woord "test" meerdere dingen. Ook in het Nederlands. Een test kan iets zijn dat je expres uitvoert (computer benchmarken bijvoorbeeld). Maar in dat opiniestuk is de betekenis anders. "De wedstrijd gisteren van Marokko tegen Frankrijk was een te zware test voor Marokko".
Lovly heeft de betekenis daarbij aangepast door het woord test vet te maken.

morpheus-nl @PolarBear • 15 december 2022 10:08

Volg jij de debatten een beetje? Ze proberen het nu definitief te verankeren in de wet hoor...

SirBlade @morpheus-nl • 16 december 2022 03:36

Ja en? Als er dus een nieuwe soortgelijke ziekte komt hoeft er vervolgens niet met spoed allerlei wetten en regels gemaakt te worden. Zijn wel meer Nederlandse wetten en regels voor het geval dat. Bij voorbeeld voor oorlogen en natuurrampen.

Omnicron1 @PolarBear • 15 december 2022 12:59

Klopt, ben ik ook wel met je eens, maar waarom die dwang ? waarom alles maar in het vizier willen houden ? regelzucht ? grootheids waanzin ?
Noge even en dan gooi ook ik de telefoon er uit. ben je ook niet meer te traceren.
Mensen beseffen nog steeds niet wat voor een hemelse oplossing te telefoon is voor de uitvoerende en controlerende instanties. EN maar roepen : 'ik heb niets te verbergen' totdat ze een keer rekenschap moeten afleggen. Dan kn ik net zo goed een conversatie starten, met deelname van een of andere regelnicht of overheid die naast me staat en allel optekent,
en je vrijheid dan ?

lovly_1 @PolarBear • 15 december 2022 13:44

Jij en ik zijn 'het volk', een gemiddelde van de samenleving.

Nou, veel mensen waren wel degelijk hun vrijheid kwijt, mochten ergens niet naar binnen tenzij...
Veel gezinnen ontwricht, relaties de fles op, familiebanden verscheurd, de grens niet over etc. puur om te kijken in hoeverre 'men' mee zal gaan in wat opgelegd wordt in de naam van 'wetenschap' (wat al vele malen volledig ontkracht is en binnenkort zal blijken)
Public Health= het volk toch ook, immers?
En kijk hoe het begon: het is maar voor twee weken, dat werden 2 maanden, 2 jaar, dat werden mondkapjes, dat werd binnenblijven, dat werd thuiswerken, dat werd geen kerst vieren met familie, dat werd onder druk zetten om je te laten prikken, vooral op scholen, gezondheidssector; de corona app, etc etc, steeds een stapje verder. En waar staan we nu? Met een flinke oversterfte waar ze als de dood voor zijn om te onderzoeken? Died Suddenly?
Vele wetenschappers die de mond gesnoerd zijn omdat ze een andere mening (en aantoonbaar met diverse peer-reviewed artikelen) hadden dan het 'bevoegd gezag' (dierenartsen, vaxx-preppers met flinke belangen etc). De WOB verzoeken laten een heel ander beeld zien waar eea op gebaseerd is.

ik wil maar zeggen dat je, stapje voor stapje, ontzettend op moet passen voor deze zaken want het gebeurd zo sneaky dat 'het gros van de mensen' het niet eens doorhebben door alle angst die je voorgeschoteld krijgt.
En gelukkig zijn er ook velen die wel steeds meer inzien dat een en ander niet klopt.

zaphod_b @lovly_1 • 15 december 2022 08:52

Argumenten proberen kracht bij te zetten met "het volk"? Dan ben je sowieso meteen af.
HET Volk bestaat namelijk niet.

Het volk zijn wij namelijk allemaal en je hoeft maar naar de uitslag van de laatste verkiezingen te kijken om te zien dat we nogal divers zijn qua meningen. Zo zijn er mensen zoals jij die al die complot-onzin over het WEF graag geloven. Die stemmen vaak FvD of BVNL. Nou wil ik ook niet generaliseren hoor, dus wellicht geldt dat niet voor jou. En zo zijn er ook mensen die het volste vertrouwen in de wetenschap hebben en met veel vertrouwen een RDNA-prik hebben genomen om zich te beschermen tegen COVID-19. En daarbij heel veel waardering hebben voor die ene vrouwelijke wetenschapper die daar haar hele carriere aan geweid heeft. Een enorm knappe prestatie. De mensen die dat vinden stemmen meestal niet op bovengenoemde partijen

.
Ergo: HET Volk is totale bullshit en een erg suffe manier om je argumenten proberen kracht bij te zetten.

On topic: elk systeem kun je misbruiken. Maar we kunnen wel degelijk systemen bouwen die misbruik heel erg moeilijk maken en in sommige gevallen zeer onwaarschijnlijk. We hebben nu ook al een DigId-app waarmee je kunt inloggen op allerlei websites, van de gemeente tot de belastingdienst tot je zorgverzekeraar tot je pensioenvoorziening. Als dat wordt uitgebreid met functionaliteit om bijvoorbeeld je paspoort "te laten zien" aan een loket voor het huren van een auto: graag. Want dat gehannes dat ze een kopietje ervan maken (en god mag weten wat ze daarmee uitspoken, ook heel gevoelig voor identity-theft!) vind ik ook altijd erg ongemakkelijk. Als ze daarentegen nu alleen de digitale bevestiging krijgen dat ik "JA" ben wie ik zeg te zijn en "JA" een rijbewijs heb en "JA" ouder ben dan 24 (dus goedkoper ben te verzekeren) dan is dat stukken veiliger. De verhuurd krijgt dan welgeteld DRIE bitjes informatie in plaats van een papieren KOPIE van m'n paspoort met allerlei gegevens die ze helemaal niet nodig hebben maar wel kunnen misbruiken, zoals m'n sofi-nummer (BSN).

Kortom: eID kan wel degelijk veiliger worden, mits goed uitgevoerd. Voor mij moet het dan wel aan een aantal eisen gaan voldoen:
- volledig open source software (OSS).
- ik kan als gebruiker altijd op het scherm zien welke data ik exact deel.
- de papieren versies van bijvoorbeeld je paspoort blijft ook bestaan.

P.S. je "bronnen" bewijzen ook al helemaal niks, zonde.

NielsFL @zaphod_b • 15 december 2022 10:52

Argumenten proberen kracht bij te zetten met "het volk"? Dan ben je sowieso meteen af.
HET Volk bestaat namelijk niet.

Het volk zijn toch gewoon alle mensen? (Incl. de politici zelf.)

Dat mensen er verschillende meningen op na kunnen houden verandert niets aan de effecten die wetten en regels op hen hebben. Of wat stelliger, als voorbeeld: het eens zijn met tirannen, of ze zelfs steunen, vrijwaart je niet van hun acties. Zie bv China, waar hogegeplaatste kopstukken gewoon achter tralies verdwijnen als dat zo uitkomt.

Enfin. Dit is wat off-topic. Maar stellen dat 'het volk' niet bestaat bevreemd mij.

zaphod_b @NielsFL • 15 december 2022 11:31

Ik bedoel te zeggen dat "het volk" als homogene groep niet bestaat. We zijn een samenleving van individuen met zeer uiteenlopende meningen.

Omnicron1 @zaphod_b • 15 december 2022 13:01

kijk eens een keer in de toestemmingen register voor je medische data.
dan kan je zien hoe vaak deze geraadpleegd wordt. ik denk dat je schrikt !
daar begint het mee

lovly_1 @zaphod_b • 15 december 2022 14:35

Kan je me uitleggen waarom die DigID dan niet gebruikt word om te stemmen? Iedereen boven 18+ kan een aanmaken die wilt stemmen.
Meest simpele vorm en met een kleine aanpassing te realiseren. Kwestie van een paar kolommen en rijen koppelen met 1 selectiemogelijkheid. Zo moeilijk kan het niet zijn.

Je kan er niet mee sjoemelen dan.
Owww, wacht....

Daoka 15 december 2022 06:47

Een plus artikel? Ik dacht dat jullie daar juist mee zouden stoppen.

On topic:
Wat ik mijn afvraag is hoe goed gaat dit wereldwijd werken? Gaat dit wereldwijd werken, alleen in de EU of is het een beetje als de corona app dat er dus overal eigen oplossingen komen en dus maar de vraag of het overal gaat werken? Ik kan mijn namelijk nog herinneren dat de Nederlandse corona apps problemen had in sommige landen omdat er te veel informatie verborgen was.

Andros @Daoka • 15 december 2022 08:13

Wereldwijd kun je vergeten, als jij met zo'n app op een luchthaven in Luanda of voor mijn part Dili, Oost-Timor staat kijken ze je raar aan als je met zo'n app komt zonder fysiek paspoort. Binnen de EU zie ik hier wel mogelijkheden voor, daar is de samenwerking goed genoeg voor. Al kan ik me voorstellen dat andere lidstaten ook voorstellen hebben, hier lijkt het af en toe alsof al dit soort ideeën alleen uit Nederland lijken te komen en er niet naar samenwerking wordt gekeken.

laptopleon @Andros • 15 december 2022 10:32

Als dit ooit nog eens echt de norm wordt, gaan buiten-EU-landen het heus wel gebruiken, net zoals de euro ook, want het is voor hen ook handiger, goedkoper, sneller, veiliger etc.

sbmuc @Daoka • 15 december 2022 07:26

Uitfasering van Tweakers Plus
Op 9 januari 2023 stoppen we met het Tweakers Plus-abonnement en de bijbehorende Plus-artikelen.

.plan: Pricewatch-prijsdalers en uitfasering Plus - Development-iteraties #24...

TweakerCarlo @sbmuc • 15 december 2022 07:35

15/12/22 klopt ergens wel. Dit is een copy paste van de git wrapped in een eigen mening.

zojammerhe 15 december 2022 06:32

Nog effe en mensen zonder (smart)phone kunnen en mogen dadelijk niet meer meedoen met de maatschappij... (ik hoor jullie al zeggen: dat valt wel mee hoor, de oude methode (papieren paspoort) is ook gewoon (nog) geldig....) Wait for it.......

Deveon @zojammerhe • 15 december 2022 07:36

Het papieren geld heeft ook nog weinig (legaal) gebruik, echter is het nog ver van uitgefaseerd. Het papieren paspoort lijkt mij toch decennia noodzakelijk om te reizen in Afrika, Azië en Zuid Amerika. De ID kaart zal waarschijnlijk wel komen te vervallen.

Ortep

@Deveon • 15 december 2022 07:55

Juist in bv Azie zijn ze vaak verder dan hier. Ze beginnen daar met een frisse start en hebben geen last van een remmende voorsprong

Cid Highwind @zojammerhe • 15 december 2022 07:38

Net zoals mensen zonder bankrekening, paspoort of computer?

Zoiets heet met de tijd meegaan. Dan is het beter op tijd te kijken naar serieuze bezwaren en het wél goed en doordacht te doen, in plaats van dat je dergelijke dooddoeners in de hand neemt om de hakken in het zand te kunnen zetten.

Omnicron1 @Cid Highwind • 15 december 2022 13:02

Yep klopt, maar dat wordt wel steeds moeilijker.

gevoelig @Cid Highwind • 15 december 2022 15:24

Ik noemde hierboven al dat er op dit moment mensen zonder paspoort zijn omdat ze geen vingerafdrukken willen afgeven. Deze mensen kunnen op dit moment niet reizen buiten Europa.

Zoiets heet met de tijd meegaanp

Dit vind ik nogal iets. Dit is precies zo'n onderwerp waar je principieel op tegen kunt zijn.
Genoeg tegenstanders tegen verplicht online identificatie die daarom de hakken (volledig) in het zand zullen zetten. Gezien de glijdende schaal en de ervaringen uit het verleden daarmee, geheel terecht wat mij betreft.

Argantonis @zojammerhe • 15 december 2022 07:46

Maar hoe erg is dat? Ik woon al 7 jaar in een ontwikkelingsland en ook daar heeft iedereen een mobieltje. Al dan niet doorgegeven door een familielid dat het iets beter heeft. Zelfs in Ethiopië waar ik ook ben geweest en wat een van de armste landen ter wereld is, is dat het geval. Misschien zijn er nu nog wat echte oudjes die er slecht mee om kunnen gaan maar dat duurt ook geen decennium meer. En als je echt dement bent oid dan kan je je papieren ook kwijtraken.

Ik ben het wel eens dat dit ook moet kunnen draaien op devices die bijv. alleen wifi hebben zodat je niet per se overal getracked hoeft te worden. Zoals een oude iPod bijv.

Andros @zojammerhe • 15 december 2022 08:18

Klopt volledig. Het papieren paspoort blijft sowieso geldig omdat je dat wereldwijd nodig hebt en andere landen dit niet gaan volgen, zeker niet buiten de EU. Wat ik me dan nog wel af vraag is waarom de overheid zelf geen toestellen gaat leveren als ze mensen er zo afhankelijk van aan het maken zijn. Sterker nog, waarom betalen we nog altijd het volle 21% btw tarief op smartphones en internetverbindingen terwijl ze steeds vaker onmisbaar zijn in het dagelijks leven? We betalen die dingen nog steeds met ons eigen verdiende geld!

En waarom vinden we het maar normaal dat elk aspect van ons dagelijks leven en communicatie met de overheid via twee grote bedrijven uit de VS moet lopen? Iedereen loopt op een gegeven moment met een ding van Apple of Google voor elke dienst mogelijk. Van betalen tot paspoorten tot klantenkaarten tot werk tot ga zo maar door. Mogen we daar ook nog een keuze in hebben?

MarnickS @Andros • 15 december 2022 10:33

En waarom vinden we het maar normaal dat elk aspect van ons dagelijks leven en communicatie met de overheid via twee grote bedrijven uit de VS moet lopen? Iedereen loopt op een gegeven moment met een ding van Apple of Google voor elke dienst mogelijk. Van betalen tot paspoorten tot klantenkaarten tot werk tot ga zo maar door. Mogen we daar ook nog een keuze in hebben?

Dat zal bij deze app niet zo'n groot probleem zijn, lijkt mij. De app komt op F-Droid en zal dus geen Google Play Services nodig hebben, waardoor je hem prima op een AOSP ROM kan zetten of hem met Sailfish OS kan gebruiken.
Dat er geen native Sailfish of Ubuntu Touch app ontwikkeld word kan ik wel begrijpen.

[Reactie gewijzigd door MarnickS op 23 juli 2024 00:28]

Fuzzillogic @MarnickS • 15 december 2022 23:06

Zolang het protocol/API maar gedocumenteerd is, en de toegang tot de API vrij is en niet achter een woud van certificeringen en API-keys en andere obstakels. Zonder vrije toegang zie ik het niet snel gebeuren dat een kleine (nota bene Europese!) speler speciaal voor Nederland moeite erin gaat steken. Ik hoop niet dat dit wéér een barrier to market entry gaat worden, en de overheid nog meer verantwoordelijk gaat zijn dat je feitelijk enkel met Google of Apple haar diensten kunt gebruiken.

lenwar

Smartphones
Nederland
Politiek en recht

@zojammerhe • 15 december 2022 12:55

Het betreft hier een gecontroleerde methode om voor bedrijven 'op internet' (belangrijk in het artikel!!!) bepaalde legitimatie te kunnen uitvoeren. Het is dus specifiek bedoeld voor online-doelen. Het is niet een methode om je fysieke ID-kaart danwel rijbewijs te vervangen voor legitimatiedoeleinden.

Er wordt nergens gesuggereerd dat je straks via een webportal op je telefoon, je moet legitimeren voordat je je pakketje bij de Primera kan afhalen.

Zoals het klassieke voorbeeld "Een online-slijter kan je 18+status verifieren, enz, enz, enz)" net zoals dat op dit moment bij een 'offline slijter' moet. Het feit dat je bijvoorbeeld ook je rijbewijsgegevens er in kan stoppen, kan er bijvoorbeeld voor zorgen dat een autoverhuurder kan zien dat jouw rijbewijs nog geldig zal zijn tot het einde van de autohuurperiode bij een online boeking, enz, enz, enz.

Maar je hebt waarschijnlijk gelijk dat je straks de facto een smartphone of ander digitaal apparaat nodig hebt om volwaardig mee te kunnen doen met alles. Maar daar heeft dit artikel niets mee te maken.

dingo35 15 december 2022 06:13

"Net als CoronaCheck en CoronaMelder wordt de app door de Rijksoverheid grotendeels in de openheid gebouwd."

Welk deel wordt dan in het verborgene gebouwd, en waarom?

EDIT: En waarom wordt IRMA van hoogleraar Bart Jacobs (Nijmegen) niet hiervoor gebruikt?

[Reactie gewijzigd door dingo35 op 23 juli 2024 00:28]

SVMartin @dingo35 • 15 december 2022 06:30

De mobile app (frontend) zo te lezen wel, maar welke backend software draait er nog?

ivojansch @SVMartin • 15 december 2022 09:21

Nog geen; in dit station is het puur een demo zonder achterkant of binnenkant.

Headblast @dingo35 • 17 december 2022 21:43

Werken nog niet met de open standards van dif/w3c/toip.

Daverius 15 december 2022 06:24

Interessant dat open source en een verbod op ‘verhandelen van persoonsgegevens’ vanuit de EU niet verplicht is voor het eID. Als een dergelijk platform closed source wordt gemaakt is het maar net de vraag of een lidstaat daarmee weg kan komen mbt vertrouwen. Dan mogen ze dat wat Brussel betreft zelf uitzoeken. Alleen dat verhandelen van data begrijp ik niet. Moet dat een technische mogelijkheid voor functionaliteit met commerciële partijen open houden?

wiezalditzijn @Daverius • 15 december 2022 09:04

Ik vroeg mij zelf eerder af hoe je dat gaan bijhouden/voorkomen dat zoiets gebeurt?

Als ik me ergens voor moet identificeren, en er staat 18+, hoe voorkom je dat een online slijterij dat opslaat?

sympa @wiezalditzijn • 15 december 2022 09:55

Als je alleen een pasje stuurt met "15 deceber 2022, 9:54, ik ben 18+" zonder zelfs maar initialen er in, dan kan de slijterij dat lekker opslaan toch?
Dat hoort juist de kracht te zijn van dit systeem.

laptopleon @wiezalditzijn • 15 december 2022 10:40

Eigenlijk boeit het de overheid / slijterij niet wie je bent, alleen dat je oud genoeg bent. Dus zuiver het ‘ben je 18+’ antwoord vragen / opslaan is genoeg. Naam etc niet. Lijkt me een redelijke compromis qua persoonsgegevens.

ivojansch @wiezalditzijn • 15 december 2022 11:56

Ten eerste door te zorgen dat die slijterij niet meer data krijgt dan nodig is. Als dat alleen is dat je 18+ bent maar niet wie je bent, dan hebben ze niet zoveel aan die opslag.

In de tweede plaats door bijvoorbeeld te eisen dat een slijterij kenbaar maakt welke gegevens ze opvragen, met welk doel en hoe lang ze die willen bewaren. En dan een mechanisme te hebben om sancties te treffen als blijkt dat ze zich daar niet aan houden. Vergelijkbaar met hoe de AP privacy bewaakt.

BadRespawn 15 december 2022 07:38

Ook als wel aan randvoorwaarden zoals een EU-breed expliciet verbod op het verhandelen van persoonsgegevens, blijft het problematisch; geen enkel systeem is waterdicht en met Wallets die in verkeerde handen vallen hebben boosdoeners wel in één keer erg veel gegevens waarvan misbruik kan worden gemaakt.

Daarnaast: decentraal opslaan, op zich goed - maar hoe gaat het bijhouden van backup dan werken? Ieder z'n eigen verantwoordelijkheid, ook voor mensen die niet tech-savvy zijn? Backup in de cloud; ook niet betrouwbaar, toch maar centrale opslag; ook onwenselijk.

SirBlade @BadRespawn • 15 december 2022 12:37

Backups van de gegevens binnen de app zelf? Ik gok dat als je een nieuwe smartphone neemt, je de app opnieuw installeert, inlogt met digid en de app haalt de gegevens opnieuw binnen vanuit de database van de Nederlandse overheid.

Op dit item kan niet meer gereageerd worden.

Nederland krijgt een paspoort voor op internet. Hoe gaat dat werken?

Technische achtergrond

Kritiek en politieke spanning

Tot slot

Lees meer

Reacties (347)

Sorteer op:

Weergave: