Kabinet geeft duidelijkheid over gebruik opvolger DigiD door bedrijven

De overheid verduidelijkt hoe het eID-stelsel, dat het DigiD-systeem moet opvolgen en in 2015 gereed moet zijn, ook door bedrijven te gebruiken wordt. Een privaat eID-middel, zoals een bankpas, is omgekeerd straks te gebruiken als authenticatie voor publieke diensten.

Digid-logo Minister Plasterk van Binnenlandse Zaken maakte begin dit jaar bekend dat het eID-systeem in 2015 werkend moet zijn. In een brief aan de Kamer heeft de minister wat verduidelijking gegeven hoe het zit met privacy, toezicht en publiek-private samenwerking bij het stelsel.

In tegenstelling tot het huidige DigiD-stelsel kunnen burgers het eID-systeem straks ook gebruiken voor authenticatie bij bedrijven en andere organisaties, zoals banken, webwinkels en verzekeraars. Met het nieuwe stelsel wil de overheid internetcriminaliteit tegengaan, identiteitsfraude verminderen en organisaties meer zekerheid geven of degene die handelt ook daadwerkelijk is wie hij zegt te zijn. Zo moeten webwinkels en aanbieders van internetdiensten met eID kunnen vaststellen wat de leeftijd van gebruikers is.

De bedoeling is dat het straks ook in het buitenland gebruikt kan worden. Het eID-systeem gaat met verschillende betrouwbaarheidsniveaus werken. De organisatie die toegang tot haar dienst wil verlenen classificeert het niveau en de gebruiker kiest met welk eID-middel hij zijn identiteit aantoont.

Voor verschillende onderdelen van het stelsel worden bedrijven ook verantwoordelijk, waarbij de overheid uitgaat van 'privaat waar het kan, publiek waar het moet'. De sleutel, het middel waarmee de persoon inlogt bij een digitale dienst, kan zowel door de overheid als door bedrijven worden aangeboden. Er komen ook private zogenoemde eID-makelaars die de toegang voor de dienstenaanbieder regelen: die mogen alle informatie, zoals wie de persoon is en wat hij mag, verzamelen die nodig is voor de toegang.

Als een door de overheid uitgevaardigd eID-middel, zoals de komende DigiD-kaart, gebruikt wordt bij winkels of banken, wordt geen burgerservicenummer uitgewisseld, maar een pseudoniem dat
per dienstaanbieder uniek is. Bij gebruik voor overheidsdiensten wordt het pseudoniem vertaald in een burgerservicenummer. Het koppelregister hiervoor wordt door de overheid bijgehouden.

Eind augustus gaf de regering al enkele details over de DigiD-smartcards voor overheidsdiensten. Deze kaarten voor het eID-systeem zouden onder andere over nfc-chips gaan beschikken. "Op dit moment wordt de precieze vormgeving van deze kaart, inclusief de benodigde financiële middelen, uitgewerkt", zegt Plasterk daar nu over.

IT-banen

Reacties (82)

Brazos 19 december 2013 16:39

".... identiteitsfraude verminderen...."

Het lijkt me dat dit systeem indentiteitsfraude alleen maar in de hand werken. Even een wachtwoord hacken, en je kunt zo maar iemand zijn identiteit gebruiken.

Daarnaast vraag ik me af of het wenselijk is i.v.m. privacy dat straks iedereen zomaar je gegevens kan inzien, en het belangrijkste nog, dat de overheid dus kan zien wat jij allemaal koopt e.d.

Ik vind dit systeem zeer zorgelijk.

"... nfc-chips...."

Handig, dit zorgt er dus ook voor dat toegangspoortjes e.d. meteen weten dat je ergens binnen loopt, hoelaat je naar binnen ging, wat je kocht en hoelaat je weer naar buiten ging is dus allemaal in te zien voor overheid en bedrijf.

Privacy is echt iets van de vorige eeuw volgens mij.

[Reactie gewijzigd door Brazos op 23 juli 2024 06:15]

wildhagen

Politiek en recht
Internet

@Brazos • 19 december 2013 16:41

dat de overheid dus kan zien wat jij allemaal koopt e.d.

Volgens mij kan de overheid dat helemaal niet zien? Ze zien alleen dat jij op moment X een bedrag Y naar leverancier Z overmaakte, met betalingskenmerk A? Niet wat er achter dat betalingskenmerk schuil gaat (wat meestal gewoon een nummer is).

Lijkt me niet anders dan wat men nu al zou kunnen zien middels pinpassen enzo.

[Reactie gewijzigd door wildhagen op 23 juli 2024 06:15]

GateKeaper @wildhagen • 19 december 2013 16:58

Ze zien alleen dat jij op moment X een bedrag Y naar leverancier Z overmaakte, met betalingskenmerk A? Niet wat er achter dat betalingskenmerk schuil gaat (wat meestal gewoon een nummer is).

Niet? Volgens mij dus wel.

De overheid heeft namelijk ook inzage in de boekhouding van iedere winkel waar jij kan betalen. Deze toegang heeft de overheid via de instelling die zij "belastingdienst" noemen.

De winkel heeft de wettelijke plicht om iedere aankoop/verkoop vast te leggen onder een uniek factuurnummer. Dit nummer vindt jij terug op je bon, en indien je met de pin betaald als kenmerk in je bankmutaties (online of via afschrift).

Als de overheid door de nieuwe DigiD dus inzage krijgt in jouw bankverkeer, als in. Op datum X maakte Jantje een overboeking naar bedrijf Y, van .... euro's, onder kenmerk Z. Kan de overheid (belastingdienst) bij het bedrijf Y de factuur opvragen, en ziet dan precies wat Jantje toen gekocht heeft.

Ik heb normaal niet zo'n last van argwaan. Maar ik krijg hier toch wel een heel groot big-brother gevoel bij. (nee, geen allu-hoedje, ik ben echt serieus)

webcamjan @GateKeaper • 19 december 2013 17:43

Met als voorbeeld (helaas) de man die zijn twee zoontjes meenam naar het hiernamaals.

De politie (opsporing lees hier belastingdienst) kon exact zeggen die en die spanbanden in die kleur gekocht bij de gamma middels pin.
Niemand had die spanbanden ooit gezien omdat het niet kon en toch wist men zelfs de kleur. Dat kon men alleen maar weten door het geld te volgen en de aankopen uit te pluizen.
Dit nieuwe Digi-d gedoe maakt het alleen maar meer inzichtelijk.

Voorstander hiervan.? in de onderbuik ja want kijk die jongens...... Maar nee dit is ongewenst, en daarom een van de redenen waarom ik de opwaardering van de foon contant betaal en de foon ook nergens geregistreerd staat niet bij aankoop, niet die 5 euro gratis pakken als je je registreert nee anoniem is anoniem.

Simyager @webcamjan • 19 december 2013 17:53

Nederland is al kampioen aftappen van telefoonsgesprekken, dus ze weten wel wie jij bent en wie jij allemaal belt, anders weten ze indirect wie jij bent, omdat ze de andere mensen waarmee jij een gesprek mee hebt gehad aftappen

.

Dat is het met staten en bedrijven met monopolie. Je geeft ze een vinger nemen ze heel je arm. En er is NIKS dat je ertegen kunt doen, er is niet(nooit eigenlijk) genoeg animo om tegen te gaan. Het lijkt op het verhaal van iedereen,iemand en niemand.

Iedereen schreeuwt dat er iets aan gedaan moet worden en denkt dat iemand het zal doen, maar uiteindelijk heeft niemand het gedaan. Later is iedereen boos op iemand, omdat niemand het heeft gedaan.

Vraag me af wie die iemand in onze geval zal zijn

[Reactie gewijzigd door Simyager op 23 juli 2024 06:15]

webcamjan @Simyager • 19 december 2013 18:46

Je kan er heel veel tegen doen zoals ik zei met de foon.

Tuurlijk kan men met erg diep zoeken en veel ook er achter komen wie X nu is, maar op de rekening van de ander staat tel nr, x met persoon X je zal moeten kijken met datum stempels wie opwaardeercode x gekocht heeft, het kan dus wel maar met heel veel moeite.

Digi-D leuk allemaal maar gebruik het dus helemaal nooit en nooit gedaan ook, en ermee geen lek/misbruik risico en je hebt het echt niet nodig hoor.
En zo zijn er wel meer dingen die je kan om het zoveel mogelijk te beperken maar dan moet je het wel willen zien en serieus aanpakken.
Hoe meer jij beperkt hoe moeilijker het zoeken gaat worden met een 100% match, maar geef je het zomaar weg omwille van ze komen er toch wel achter maak je het alleen maar nog makkelijker.

Maar dat komt waarschijnlijk omdat ik de tijd van je hoeft geen bankrekening te hebben nog ken, je weet wel loonzakjes en als je een ww of bijstand had deze met cheques uitgekeerd werd, ding mee naar het postkantoor en omwisselen voor contant geld. (zonder identificatie dus he)
Waarom denk je dat ze de bankrekening verplicht hebben.? daar begon het allemaal al mee. Volg het geld.... en toen kwam pin, ect ect. Alles onder het mom.. Gemak. Maar voor wie precies.?

Bonez0r @webcamjan • 21 december 2013 14:23

Digi-D leuk allemaal maar gebruik het dus helemaal nooit en nooit gedaan ook, en ermee geen lek/misbruik risico en je hebt het echt niet nodig hoor.

Nu kun je er nog omheen. Maar geef het een jaar of 10-15 en je kan geen boodschappen meer kopen zonder aan de kassa je gecombineerde betaal/ID pasje langs de scanner te halen.

Het is allemaal onderdeel van de steeds erger wordende verzamelwoede/controledwang van overheden en bedrijven wat betreft persoonlijke gegevens die vroeger gewoon privé waren. Of, misschien waarschijnlijker, was die drang er altijd al, maar was de techniek nog niet zo ver. Nu het kan, willen ze die gegevens ook. Men schijnt niet door te hebben dat niet alles wat technisch mogelijk is ook een verbetering is. Je kan met technologie een hemel op aarde maken, maar je kan ook een hel op aarde maken. Er wordt m.i. te snel gedacht "het kan, het maakt het voor ons makkelijker, dus we doen het", zonder over mogelijke nadelen/consequenties na te denken of het eens vanuit het perspectief van de ander (in dit geval de bezorgde burger) te bekijken.

[Reactie gewijzigd door Bonez0r op 23 juli 2024 06:15]

Durandal @Simyager • 19 december 2013 18:52

In het licht van recente onthullingen kunnen we wel stellen dat de NSA kampioen aftappen is.

adsa @GateKeaper • 19 december 2013 21:48

Inzage in je banverkeer via Digid??? Beetje overtrokken, vind je niet? Vorig jaar zijn 2,5 miljard pinbetalingen gedaan. Dat zal dit jaar nog meer zijn. Wat denk je hoeveel werk het is om bij iedere ondernemer op te vragen wat ze allemaal ontvangen hebben en van wie. Handmatig opvragen heb ik het hierover he. Op die manier achterkomen wat jij allemaal hebt gekocht. Dat is een onmogelijke opgave. Er zijn betere manieren hiervoor.

Daarnaast, belastindienst mag dit niet doen. Dat is tegen de wet. Stel dat ze het toch doen en het wordt bekend gemaakt. Hele imago van de belastingdienst gaat naar de knoppen. Dat risico nemen ze echt niet.

@webcamjan
Dat ben ik met je eens. Het mag met een reden. Wat ik wil zeggen is dat ze niet zomaar het hele land mogen controleren. Geen NSA praktijken dus. Vooral niet je pinbetalingen. Het gaat ze niets aan.

[Reactie gewijzigd door adsa op 23 juli 2024 06:15]

webcamjan @adsa • 19 december 2013 23:27

De belastingdienst mag dat dus wel en met reden ook.

Steekproefsgewijs controleren ze je boekhouding en de daarmee gepaard gaande facturen, deze facturen en bedragen dienen ook weer zichtbaar te zijn in de boekhouding van het andere bedrijf ect ect.

Dit is juist om fraude te voorkomen met valse facturen en btw aangiftes. Tevens controleert men dan ook of die opgaven van verkopen wel weer klopt met voorraden. en zo zijn er wel meer zaken.
Ook banktransacties vallen daaronder tbv fraude bestrijding, rekening nummers kunnen daarbij gekoppeld worden aan de persoon/bedrijf en bedragen.

Ik heb daar al eens mee te maken gehad, en veel ondernemers merken dat nog elke dag. Je wil niet weten wat ze weten en hoe ze dat allemaal kunnen doen.

En hoe meer er geregistreerd wordt hoe makkelijker zaken zijn te combineren en een kleine wetsuitbreiding si dan voldoende om alles te registreren waarbij 1 dienst (nieuw op te richten) alles kan koppelen en inzien wat ze maar wil en gegevens dan kan doorgeven aan bv de belasting dienst. Deze nieuwe dienst is dan opgericht om zogenaamde transparantie te geven zodat niet het beeld gaat ontstaan dat dingen heimelijk gebeuren, deze mensen zijn dan heel integer bijvoorbeeld..

Bonez0r @adsa • 21 december 2013 14:30

Daarnaast, belastindienst mag dit niet doen. Dat is tegen de wet.

Er is wel meer tegen de wet. Zo moet de politie, na een telefoon te hebben afgetapt, achteraf de betreffende persoon daarvan op de hoogte stellen. Doen ze niet. Ze lappen die regel al jarenlang aan hun laars, overigens geheel zonder consequenties. Dat moet je als burger eens proberen te flikken.

Brazos @wildhagen • 19 december 2013 16:53

Er staat alleen in dat het burgerservice nummer wordt omgezet in een pseudonym, wat waarschijnlijk gaat betekenen dat de overheid dit pseudonym weer kan vertalen in je burgerservice nummer.

Staat verder niets over gegevens die wel of niet worden verstrekt.

De bedoeling van het systeem zal wel zijn dan banken meer inzicht krijgen in het uitgaven patroon van klanten(fraude, schulden etc.) en dat zorgverzekeraars straks kunnen zien hoe jij leeft(dat ze kunnen zien dat je rookt, of je sport, wat voor boodschappen je haalt etc.) dus ik neem aan dat er vrij veel gegevens verstrekt zullen worden over en weer.

Volgens mij valt het Franse Atos (dat samenwerkt met DigiDentity aan het DigiD systeem) ook onder de patriot act. Het wordt er allemaal niet beter op, ik hoop dat het nieuwe systeem niet verplicht wordt en dat we nog gewoon de oude DigiD kunnen gebruiken, maar dat zal wel niet i.v.m. de belangen die erachter schuilen.

Dykam @Brazos • 19 december 2013 17:19

Waar haal je dat vandaan? Refererend naar je verhaal over zorgverzekeraars. Het idee is juist dat je zorgverzekeraar een ID krijgt, die alleen zij intern gebruiken, en waarmee ze je juist niet kunnen herleiden tot andere instanties. Niet heel anders dan momenteel, je bent toch ook al ingeschreven bij een verzekeraar?

De omzet-sleutel is, in één richting, opgeslagen in een centrale omgeving van de overheid. Ik weet het niet helemaal meer zeker, maar ik meen te herinneren dat ook voor de overheid de sleutel niet terug te herleiden is tot je eID.

Durandal @Dykam • 19 december 2013 18:50

Dan nu maar achten op de eerste ambtenaar die een koppelregister doorverkocht aan de hoogste bieder. De NSA heeft bijvoorbeeld wel een aardig dikke portemonnee, maar ik denk dat verzekeraars ook wel willen lappen.

Ik ga dat eID net zo vaak gebruiken als mijn DigID...

S0epkip @Durandal • 20 december 2013 10:35

Hoe doe jij dan belastingaangifte en inloggen bij je zorgverzekeraar etc?

Xubby @Dykam • 19 december 2013 19:10

Waar haal je dat vandaan? Refererend naar je verhaal over zorgverzekeraars. Het idee is juist dat je zorgverzekeraar een ID krijgt, die alleen zij intern gebruiken, en waarmee ze je juist niet kunnen herleiden tot andere instanties. Niet heel anders dan momenteel, je bent toch ook al ingeschreven bij een verzekeraar?
[...]

Zorgverzekeraars doen er echt alles aan om alles van je te komen weten. Zie de manier waarop Achmea apothekers onder druk zette om patient verbruiksgegevens te krijgen om goedkope maandverbanden i.p.v. duurdere te slijten.
En de (illegale) weigering om rekeningen voor bepaalde psychische aandoeningen te vergoeden zonder vergaand gespecificeerde factuur.

De staat wil juist inzicht in alles wat de burger doet. En winkels en bedrijven zijn de "smoes" om het te realiseren. Ik log wel met een per winkel aparte inlog in.

PcDealer @Brazos • 19 december 2013 16:50

DUO vereist ook nog een sms authenticatie naast username/password waar anderen het optioneel aanbieden.

Brazos @PcDealer • 19 december 2013 16:56

DUO wel, maar de belastingdienst bijvoorbeeld niet.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer

@Brazos • 19 december 2013 17:48

Nee en dat is ook behoorlijk grappig naar mijn mening.
Ook op toeslagen en dergelijken niet. Je mag dan dus niet zonder SMS inloggen naar iets simpels als het wijzigen van de hoogte van een studiefinanciering, of stopzetten van OV kaart: maar inloggen naar een dienst waar inkomen geregistreerd staat, je wijzigingen kan doorvoeren (eg: geheel stopzetten, opgeven dat je opeens een miljoen verdient hebt, et cetera) is geen probleem zonder SMS.

Het foute is dat ze vragen "Wil je inloggen met wachtwoord, of met wachtwoord & sms?".
Wat heb je aan two-factor authenticatie als je kan kiezen VOOR het inloggen of je wel of geen two-factor gebruikt, en als je al kan inloggen met enkel het wachtwoord: waarom zou je dan de moeite nemen om alsnog ook nog dat smsje te laten versturen gezien het toch geen meerwaarde heeft: inloggen kan je toch wel...

Vind dat zo raar...

mashell @WhatsappHack • 19 december 2013 19:42

De belastingdienst bedient een ander publiek waarvan (echt waar) niet iedereen een SMS kan ontvangen. Bi DUO is er een jonger publiek waar je dat wel kunt verlangen.

WhatsappHack

Politiek en recht
Internet
Netwerk en systeembeheer

@mashell • 19 december 2013 19:47

Dat is zeker waar, al ben ik dan nog benieuwd waarom ze de optie geven.
Ik bedoel... Iemand met een mobiel gaat toch niet kiezen voor "wachtwoord & sms" als je met alleen het wachtwoord even goed kan inloggen dunkt mij.

Bedoel... Die functionaliteit op die sites laten zien lijkt me dan... Nogal overbodig.

Gomez12 @WhatsappHack • 19 december 2013 20:25

In theorie zou ww & sms veiliger moeten zijn omdat ook een mitm attack hier geen invloed op heeft (want er gaat een code naast het inet dus de mitm mist deze).

Dus voor je eigen veiligheid (als je vermoed dat de AIVD / NSA / je inetprovider) mee zit te kijken zou je kunnen zeggen ww & sms en dan heel hard hopen dat de site het goed geimplementeerd heeft.

Enige nadeel bij dit soort partijen is dat AIVD / NSA etc het gewoon rechtstreeks uit de overheidsdatabanken halen, dat je inetprovider wel iets beters te doen heeft en dat ik inschat dat de meeste digid providers de sms verificatie niet op de beste manier afhandelen, oftewel in de praktijk is het enkel een ergernis, maar in theorie zou het beter kunnen zijn.

PPie @mashell • 20 december 2013 09:32

De belastingdienst bedient een ander publiek waarvan (echt waar) niet iedereen een SMS kan ontvangen.

Maar waarom kan ik persoonlijk niet kiezen dat ik dat altijd wil?
Dus dat ik bij de DigiD aanvraag of op de website kan aangeven dat mijn inloggen altijd via two-factor authenticatie moet plaatsvinden?
Dat zou voor mij dit systeem meer acceptabel maken.

halofreak1990 @WhatsappHack • 19 december 2013 19:17

Ja, maar als je bij de belastingdienst ook twofactor authenticatie moet gebruiken, dan wordt het te moeilijk om te frauderen. In het onderwijs maakt het niet zoveel uit.

mcDavid @Brazos • 19 december 2013 16:52

Het lijkt me dat dit systeem indentiteitsfraude alleen maar in de hand werken. Even een wachtwoord hacken, en je kunt zo maar iemand zijn identiteit gebruiken.

Dat is dus een flinke vooruitgang, want op dit moment hoef je helemaal niets te hacken of te doen om onder andermans naam een bestelling te plaatsen op een willekeurige webshop.

Als ik 200 pizza's wil laten bezorgen bij de buurman kan ik zo zijn naam en adres opgeven bij thuisbezorgd.nl. Datsoort fraude kan met DigiD juist voorkomen worden, omdat een DigiD account gekoppeld is aan een fysiek persoon, en de webshop dus zeker weet dat de persoon die de bestelling plaatst ook daadwerkelijk degene is die hij zégt te zijn.

Bovendien is DigiD met tweestapsauthenticatie behoorlijk goed beveiligd, beter dan de gemiddelde webshop.

Ik deel wel je privacyconcerns, al zou een DigiD-api natuurlijk geen inzicht hoeven geven in betalingen e.d. die de gebruiker gedaan heeft. Deze kan ook éénmalig gebruikt worden om je account te verifiëren. Maar het blijft zo dat de DigiD-beheerder zou kunnen tracken waar de gebruikers allemaal inloggen.

Brazos @mcDavid • 19 december 2013 16:57

"....kan ik zo zijn naam en adres opgeven...."

Erg flauw voor het bedrijf, want hij gaat (en hoeft) toch niet betalen. Dat heeft dan ook weinig te maken met identiteits- fraude.

Dan denk ik meer aan een hypotheek afsluiten of een auto op afbetaling kopen met een ander zijn gegevens.

"Maar het blijft zo dat de DigiD-beheerder zou kunnen tracken...."

dat bedoelde ik ook voornamelijk inderdaad. De overheid zou emt de NFC chip bijvoorbeeld kunnen zien waar jij allemaal in/uit/voorbij loopt, ze kunnen waarschijnlijk ook je betalingen volgen, en bijvoorbeeld je accounts op marktplaats e.d.

Ik ken genoeg mensen die bijvoorbeeld 5-6 auto's per jaar kopen/verkopen (daar zit een maximum aan, daar boven moet je je registreren als auto-dealer) die nu dus bijvoorbeeld problemen kunnen krijgen als de overheid ziet dat hij teveel auto's zou verkopen elk jaar.

Al met al gaat er een enorm stuk privacy weer weg, daar blijft toch al weinig van over.

[Reactie gewijzigd door Brazos op 23 juli 2024 06:15]

mcDavid @Brazos • 19 december 2013 17:01

Er zijn inderdaad nog veel vervelender situaties te bedenken. De essentie is in ieder geval dat het voor veel bedrijven een gigantische uitkomst zou zijn als zij van een DigiD-api gebruik zouden kunnen maken om iemands identiteit te verifiëren.

Gomez12 @mcDavid • 19 december 2013 20:33

Dan moet die DigiD-api wel overal 100% dichtgetimmerd zitten en geen enkele stagair mag iets ermee doen.

Het probleem met de DigiD-api is namelijk dat het gegevens moet verstrekken. Als het enkel een inlognaam authenticeert dan weet de pizza-boer nog steeds niet met wie hij te maken heeft, enkel dat het een geldig DigiD inlog is.
Wil je er uit halen met wie je te maken hebt (als pizza-boer) dan moet DigiD die info gaan verstrekken en dan moet de pizza-boer weer zorg dragen over het 100% correct opslaan van die gegevens.

En het probleem met een openbare standaard is dat ook zolderkamer programmeurs het moeten gaan gebruiken en als er ergens een lek ontstaat dan heb je de poppen aan het dansen.

mcDavid @Gomez12 • 19 december 2013 21:03

Daar valt best een mouw aan te passen. Bij Oauth van google e.d. zie je ook dat de api vraagt welke gegevens je wilt delen. Als een webshop enkel je echte naam opvraagt dan weten ze eigenlijk al meer dan genoeg. Daarnaast zou je een hash kunnen koppelen aan het verzoek, die de webshop bij misbruik kan gebruiken om aangifte te doen. Dan kan achteraf (bij het politieonderzoek) via de hash de identiteit van de dader achterhaald worden, zonder dat die direct met de webshop gedeeld hoeft te worden.

PPie @Brazos • 20 december 2013 09:33

Dan denk ik meer aan een hypotheek afsluiten of een auto op afbetaling kopen met een ander zijn gegevens.

Dat zijn precies die dingen die je niet gaat lukken zonder overleggen van een identiteitsbewijs...

GekkePrutser @Brazos • 19 december 2013 17:01

Die NFC chips zijn niet zozeer voor toegangspoortjes, maar zodat je je kan aanmelden vanaf je telefoon met behulp van die smartcard. Ik neem aan dat de login namelijk gebeurt door middel van een RSA handshake met die kaart. Dit is handig en veilig, je kan zo bijvoorbeeld ook je SSH sleutels op zo'n kaart zetten. De private key kan de kaart niet uit dus je kan die niet kopieren.

Waar ik alleen wel een probleem mee heb, is dat als dit een succes wordt je jezelf constant moet gaan legitimeren op internet. Bijvoorbeeld op fora. Bij inloggen op banken, verzekeringsmaatschappijen e.d. begrijp ik het wel maar op facebook, tweakers, skype, gmail enz vind ik dat veel te ver gaan.

Brazos @GekkePrutser • 19 december 2013 18:14

"Die NFC chips zijn niet zozeer voor toegangspoortjes,..."

Dat snap ik, maar dat ze het daar voor kunnen gebruiken is een leuke bijkomstigheid zullen we maar zeggen.

GekkePrutser @Brazos • 20 december 2013 11:23

Ja dat is waar, dat kan misbruikt worden door bijv. winkeliers (al zijn er dacht ik nog geen toegangspoortjes die dit soort chips van zo ver weg uit kunnen lezen). De e-paspoorten van dit moment gebruiken random (per leesactie) serienummers maar deze nieuwe chip is bedoeld om ook door winkeliers uitgelezen te worden dus dan kunnen ze je inderdaad identificeren.

Maar daar zijn ook wel oplossingen voor.. Deze bijvoorbeeld, portemonnee met afscherming. Ik zou dat inderdaad ook wel gaan gebruiken want het is wel vervelend als je een mailtje krijgt van 'Afgelopen zaterdag om 14:02 heeft u onze winkel betreden en naar een jas gekeken, maar niet gekocht. Vandaag is die in de aanbieding!'.

Ultimation @Brazos • 19 december 2013 17:03

De overheid kan nu ook je banktransacties opvragen. Dus in die zin ook zien wat jij koopt.

Brazos @Ultimation • 19 december 2013 17:59

Dat is heel wat anders, dat is alleen op verdenking, niet geautomatiseerd op grote schaal. Bovendien is het niet te zeggen wie er allemaal inzage krijgt/gaat krijgen in deze gegevens, dat hoeft niet alleen bij de overheid te blijven.

Ultimation @Brazos • 19 december 2013 18:02

Dus jij denkt dat ze de mogelijkheden van dit nieuwe systeem, in tegenstelling tot wat we nu al hebben, zo te pas en te onpas mogen inzetten?

Brazos @Ultimation • 19 december 2013 18:04

Net zoals ze geen geld mochten vragen voor een ID-kaart?

stijnislike @Brazos • 19 december 2013 19:15

Er wordt geen geld gevraagd voor een id-kaart. Het bedrag wat je aan leges betaalt is voor de dienstverlening, niet de prijs van de kaart zelf. Dit voelt natuurlijk anders aan, maar dat is dus niet zo.

Brazos @stijnislike • 19 december 2013 20:15

"....niet de prijs van de kaart zelf."

Jammer genoeg niet, want dan was je met 5 Euro klaar.

Die leges doen het leuk in de tweede kamer, maar we weten allemaal dat het oplichterij is.

En dus ook precies wat ik bedoelde, als een rechter zegt dat de kaarten gratis moeten worden verstrekt, dan maakt de overheid gewoon een nieuwe regel. Dat was wat ik met mijn opmerking bedoelde.

[Reactie gewijzigd door Brazos op 23 juli 2024 06:15]

GekkePrutser @Brazos • 20 december 2013 11:25

Het komt toch allemaal op hetzelfde neer. Of de staat hem betaalt of de burger zelf. Iedereen moet er een hebben dus als de staat hem betaalt dan komt hij toch gewoon uit je belastinggeld

themeparktommy @Brazos • 19 december 2013 16:41

Zoals ik het begreep zou het een systeem worden zoals we dat nu kennen met onze bank, via een Random Reader. Dus het zal waarschijnlijk iets moeilijker worden dan alleen een wachtwoord, zoals het nu is.

Captain Pervert @Brazos • 19 december 2013 21:40

En als dat zo is dan zien ze dat ik met de trein naar Assen ga, daar wat rondslenter en vervolgens een blikje cola koop bij de C1000. Dat interesseert mij 0,0

Gelukkig zien ze ook dat Samir A. met de trein naar Leiden gaat, daar twee kilo ammoniumnitraat haalt, en vervolgens naar Den Haag gaat.

Ik denk dat je wel snapt wat ik bedoel.

Verwijderd 19 december 2013 16:52

Panopticon, rings any bells?

Uiteraard hebben de burgers het maar weer te slikken. Een overgroot deel van de Nederlandse bevolking zal als schapen hierachter staan, ook omdat ze niet beter weten maar vooral omdat ze er niets over dúrven te zeggen. De combinatie van wat de regering nu doet, het AIVD wilt doen en wat het kabinet nou weer voor rampzalige plannen hebben doen bij mij steeds meer alarmbellen afgaan.

Het idee snap ik overigens wel, begrijp me zeker niet verkeerd. Bij de slijter een drankje halen en de verkoper kan enkel de leeftijd zien. True. Dat is handig, want nu moet je je volledige ID laten zien inclusief naam, roepnaam én je persoonlijke identificatienummer.

De hackgevoeligheid die er mee samenhangt daarentegen, is bijzonder hoog. Daarnaast moet dit ons wéér geld gaan kosten (want binnen het budget blijven? tuurlijk niet, liever miljarden naar het buitenland dan onze eigen crisis oplossen maar in de tussentijd wel faalprojecten starten die ons nóg meer geld kosten) en waarvan het niet eens duidelijk is hoeveel de implementatiekosten wel niet zijn. Als voorbeeld, die slijterijen moeten dadelijk allemaal dat ding gaan implementeren. Kosten à €x.xxx,- en een maandelijkse fee uiteraard?

Aangezien de meeste webwinkels zich op dit moment al niet aan de regels houden (SSL-certificaten kennen een hele boel webwinkels niet ondanks de eisen) en niets, maar dan ook *NIETS* aan beveiliging doen, weiger ik om dit in een webwinkel in te voeren. Om nog maar te zwijgen over de apothekers zelf overigens, want ze laten nog de nodige steken vallen qua beveiliging op dit moment (windows XP die al jaren niet meer is geupdate, geen wachtwoorden om in te loggen of *apotherkersnaam+nummer* als wachtwoord noem ik geen beveiliging).

Al met al is dit gewoon weer een stap in de richting van het (bij een aantal ondertussen) bekende Panopticon: alles en iedereen in de gaten houden onder de noemer 'voor het gemak en de veiligheid'. Maar op het moment dat burgers/particulieren/bedrijven dezelfde 'geintjes' willen uithalen als wat bijv. AIVD/MIVD doet (harvesten van metadata, opslaan gegevens of wat dan ook) mogen wij wél voor de rechter verschijnen.

Wordt tijd dat de makke schapen wakker worden en er ook eens wat van zeggen voor we straks de nieuwe generaties met een chip mogen injecteren na de geboorte 'voor de veiligheid'.

Simyager @Ultimation • 19 december 2013 17:47

Really, Tweakers paranoïde? Wij zijn wel een van de weinigen die kennis over dit soort systemen hebben, zeker als je het vergelijkt met de rest van de bevolking.

Desalniettemin kun jij toch ook wel inzien dat de kosten baten totaal scheef staan? Punt is dat dit systeem ID-fraude zelfs makkelijker maakt, het behoud zich niet alleen meer tot de diensten van de staat, nee, nu kan er zelfs op jouw naam gefraudeerd worden bij bedrijven.

En als ze de sms-tokens erbij willen voor extra verificatie en je hebt een 'besmette' app op je smartphone, tja dan ben je wel lekker de sjaak.

Dus wat voegt dit nieuwe product toe aan de 'consument', is er een echt bestaande probleem mee opgelost, bespaart het de 'consument' tijd en geld? Want nu zie allemaal nadelen voor de 'consument', dat is niet echt iets om van vrolijk te zijn eerlijk gezegd.

Ultimation @Simyager • 19 december 2013 18:00

Desalniettemin kun jij toch ook wel inzien dat de kosten baten totaal scheef staan? Punt is dat dit systeem ID-fraude zelfs makkelijker maakt, het behoud zich niet alleen meer tot de diensten van de staat, nee, nu kan er zelfs op jouw naam gefraudeerd worden bij bedrijven.

En als ze de sms-tokens erbij willen voor extra verificatie en je hebt een 'besmette' app op je smartphone, tja dan ben je wel lekker de sjaak.

Als jij nu je identiteitsbewijs kwijt raakt op straat kunnen kwaadwillende daar ook van alles mee doen. Als jij bij een instantie een kopie moet afgeven van je identiteit kan er ook van alles mee gebeuren.

Maar goed, stel je telefoon zou besmet zijn dan is dat nog steeds de plicht van de eigenaar om zijn apparaat gezond te houden. Als jij je voordeur (wagenwijd) open laat staan is de kans groot dat je huis leeg is wanneer je thuis komt. SMS-Tokens maakt het juist veiliger. Ik heb nog steeds geen nieuws berichten voorbij zien komen waarbij het iemand daadwerkelijk is gelukt om een SMS-token + het invoerscherm op de computer/mobiel apparaat te neppen zodat jij namens die persoon dingen kan uitvoeren. Theoretisch is alles mogelijk, akkoord.

Hoe moet dit systeem identiteitsfraude dan makkelijker maken? Want volgens mij staat er in het artikel dat er een pseudoniem wordt afgeven en niet jou daadwerkelijke (digitale) identiteit.

Dus wat voegt dit nieuwe product toe aan de 'consument', is er een echt bestaande probleem mee opgelost, bespaart het de 'consument' tijd en geld? Want nu zie allemaal nadelen voor de 'consument', dat is niet echt iets om van vrolijk te zijn eerlijk gezegd.

Het kan de consument tijd en geld besparen, waarom kan dit systeem de consument dan geen tijd en geld besparen? Je krijgt een soort van OAuth systeem op basis van je echte identiteit? Lijkt mij best een prima systeem.

Simyager @Ultimation • 19 december 2013 18:12

Dus je wilt in feite een soortgelijke inlog mogelijkheden net als die van Zuid-Korea? Waardoor dus de rest van de wereld wordt buitengesloten? Omdat ze simpelweg geen eID (kunnen) hebben?

Dat noem ik wel een nadeel voor de bedrijven, ja natuurlijk kunnen ze nu ook al een aparte inlog hebben, maar wordt dat dan niet duurder voor al die bedrijven?

Dus niet alleen de consumenten worden hierbij 'genaait', maar de bedrijven moeten dus ook nog eens extra investeren om het toe te passen. Vindt jij dat (moreel) verantwoordt dan?

Nogmaals wat zijn de voordelen voor de 'consument' en de bedrijven? Ik zie niks anders dan een grote lastenpost. Zoals er al meerdere malen werd gezegd weet de belastingdienst al genoeg over je, maar waarom willen ze alles dan op een plek hebben? Waarom hebben ze je gegevens real-time nodig?

skiwi2 @Verwijderd • 19 december 2013 18:48

Mij lijkt het me niet een onoverkomelijk probleem dat alles automatisch wordt getrackt, ik bedoel maar even: Wat is het verschil met een detective/politie die jou shaduwt, of een systeem wat het automatisch doet.

Echter wordt het natuurlijk een ander verhaal als een van de volgende punten (maar niet beperkt tot deze) tot werkelijkheid komt:
- De overheid stelt een nieuwe wet in, en gaat achteraf controleren. Dit kan nu dus wél, waar het bij shaduwen niet meer gaat.
- De 'overheid' is eigenlijk helemaal geen overheid maar een keiharde dictatuur en houdt zich helemaal niet aan de regels en wetten.
- De data lekt uit naar andere organisaties.

Puur met het idee dat iedereen direct bestraft wordt (drank kopen als <18 bijvoorbeeld), heb ik geen probleem mee. Het is volgens de wet om daarom te straffen.

Maar de gevaren zijn o zo groot dat het toch de verkeerde kant op gaat.

Bijvoorbeeld illegale content uploaden is verboden bij de wet. Stel dat ze het nu wél zouden controleren? Dan was er toch echt een hoop loos.
Er zijn dus ook een heel aantal wetten die nu gedoogd worden, mede door het gebrek aan controle, welke dan dus wél mogelijk gecontroleerd zouden worden, waardoor we zeer mogelijk minder bewegingsvrijheid zouden kunnen krijgen.

Verwijderd 19 december 2013 17:27

Onze verslaving aan digitalisering is regelrecht zorgelijk. Wat gaat dit digi-gedoe nu weer aan identiteitsdiefstal oplveren of schade na hacken van systemen. Dat laatste bijvoorbeeld door onze Amerikaanse vrienden...

Verwijderd @Verwijderd • 19 december 2013 19:45

Als straks allerlei partijen bij eID zich gaan aansluiten wordt het een fluitje van een cent om voor de overheid bij alle diensten om gegevens op te vragen als ze jouw eID aannemen (emuleren secu vervalsen) zonder tussenkomst van een rechter en dat jij of die partijen dit door hebben.
Dus je zorgverzekeraar, arts, supermarkt, bank, verzekeraar, kinderopvang, sportschool, webwinkel, hobby club, muziekvereniging etc. Dit naast alle meta gegevens van elk moment van de dag waar we zijn en met wie we contact hebben.
Willen wij die macht aan onze overheid geven? Want als je hier mee instemt dan heb je wellicht letterlijk niets meer te verbergen.

Je kan ook besluiten om hier tegenin te gaan en protest aan te tekenen bij de overheid en alle partijen die overwegen om zich bij eID aan te sluiten en deze bij voorbaat te boycotten. En informeer dan ook al je naasten hierover en leg ze uit waarom je hiertegen bent. Tevens kan je aansluiten en/of privacy belangenorganisaties financieel steunen zodat zij hierover rechtszaken kunnen aanspannen om te toetsen of deze plannen strijdig zijn met de nationale en internationale wetten.

S0epkip 19 december 2013 16:37

"n tegenstelling tot het huidige DigiD-stelsel kunnen burgers het eID-systeem straks ook gebruiken voor authenticatie bij bedrijven en andere organisaties, zoals banken, webwinkels en verzekeraars."

Hoe zit dat nu dan eigenlijk met het gebruik van DigiD door zorgverzekeraars?

jdkjr @S0epkip • 19 december 2013 16:41

Zorgverzekeraars hebben een uitzonderingspositie hier, (ik denk) omdat een zorgverzekering verplicht wordt gesteld vanuit de staat.

Hier een linkje naar de eerste aansluitingen in 2008: https://www.digid.nl/nieu...ars-sluiten-aan-op-digid/

S0epkip @jdkjr • 19 december 2013 16:44

Yeah, dat ze zijn aangesloten is duidelijk. Maar wat krijgen ze allemaal "te zien"? Dat kan ik nergens vinden en vind ik wel belangrijk....

jdkjr @S0epkip • 19 december 2013 16:46

Voor zover ik weet gebruiken ze het vooral als authenticatieprovider - ik denk dat je het kan vergelijken met SAML achtige SSO toestanden.

resma @S0epkip • 19 december 2013 23:46

Ze krijgen een BSN terug. De laatste variant van DigiD werkt met SAML als authenticatieprovider. Zorgverzekeringen zijn tevens aangesloten op GBA en met je BSN kunnen ze daaruit verdere persoonsgegevens ophalen, zoals adresgegevens.

freaky @jdkjr • 19 december 2013 19:42

Ken anders een notaris site (nog in ontwikkeling door een klant) die ook via DigiD authenticeert.

wildhagen

Politiek en recht
Internet

@S0epkip • 19 december 2013 16:38

Dat kan al een tijdje, namelijk sinds 2008, zie https://www.digid.nl/nieu...ars-sluiten-aan-op-digid/

mr_seeker 19 december 2013 17:39

Voornamelijk het zinnetje "Deze kaarten voor het eID-systeem zouden onder andere over nfc-chips gaan beschikken" baart mij flinke zorgen.

Een paar vrienden van mij zijn Belgen, zij hebben precies zo'n systeem met een smartcard, zonder nfc. Werkt redelijk goed: Alle gegevens die normaal op jouw pas staan kun je direct digitaal uitlezen. Voor het signeren van bijvoorbeeld de belastingaangifte heb je een pincode nodig.

Tot zo ver het "leuke" verhaal. Nu het "minder leuke verhaal"

Hackers kunnen nu al tegenwoordig nfc chips uitlezen tot 3-5m afstand van een persoon. Dit is hetzelfde uitleesapparatuur dat ook gebruikt wordt om je "NFC-compatibele" kentekenplaat uit te kunnen lezen. Wie kan mij garanderen dat dit niet dadelijk gebruikt gaat worden door reclameborden om jou persoonlijke reclame toe te gaan schuiven? Ik hoef niet jouw burgerservicenummer te weten, alleen jouw unieke(!) nummer die jouw nfc chip maar al te graag uitdeelt in combinatie met een foto die ik vergelijk in facebook.

[Reactie gewijzigd door mr_seeker op 23 juli 2024 06:15]

PetervdM @mr_seeker • 19 december 2013 18:06

ik heb al jaren een rfid-proof portefeuille. zie bv www.difrwear.com . want hetzelfde geldt voor je identiteitskaart of paspoort

Relief2009 @mr_seeker • 19 december 2013 20:24

Er is een verschil tussen NFC en RFID. Ga daar maar eens in verdiepen

xbeam @mr_seeker • 20 december 2013 00:21

Gebeurt nu al via gezichts herking in reclame borden. Daar hen je geen chip voor nodig

xbeam @xbeam • 20 december 2013 00:24

Brohttp://www.foodnieuws.nl/discussie-gezichtsherkenning-laait-op/

DutchReaper 19 december 2013 16:50

voor banken, verzekeraars, notarissen en leningverstrekkers vind ik dit een goede zaak. Dit zijn bedrijven waar je zelden mee in contact komt maar bij fraude je 10duizenden euros armer kunnen maken.

Het gebruik voor webshops ben ik volledig tegen. Iedereen kan een webshop opzetten en gegevens krijgen. Deze webshops lopen heel weinig risico met fraude, omdat je eerst moet betalen voordat je iets ontvangt. Het enige wat daar aan te frauderen is dat het bij de verkeerde persoon aankomt

. De webshops die dit systeem gaan gebruiken ga ik proberen te ontwijken.

dingezzz @DutchReaper • 19 december 2013 20:00

waarom zou je die webshops gaan ontwijken dan? is toch handig wanneer je je betaling hebt gedaan dat ze gelijk je adresgegevens hebben. meer zal ook niet verstrekt gaan worden, althans dat neem ik even aan. PayPal werkt net zo.

com2,1ghz 19 december 2013 16:40

"Het koppelregister hiervoor wordt door de overheid bijgehouden.".
De overheid weet dan in 1 oogopslag overal waar je iets koopt of een dienst van afneemt. Alles wat je doet zal je dan in een rijtje zien.

Er werd wel eens in het verleden verteld dat er een profiel opgesteld wordt. Zie hier het digitaal dossier van ieder burger.

Sp3dy @com2,1ghz • 19 december 2013 17:49

En door welk deel van de overheid? De AIVD? Met als reden dat ze kunnen bijhouden of je onderdelen voor een bom inkoopt natuurlijk.

GC-Martijn 19 december 2013 16:46

Ik hoop niet dat er een website achter eid moet komen waar men ook kan inloggen, want alle domeinen zijn al bezet...

anders krijg je weer dat mensen er niets van snappen, en gaat de overheid hier weer de fout in.

bron: https://www.security.nl/posting/371882/

XchangeVisions 19 december 2013 18:37

Vanuit mijn functie al eerder over dit project geïnformeerd, en hetgeen mij zorgen baart is de zogenaamde makelaar. Lijkt mij dat hiermee een 'single-point-of-failure' wordt gecreëerd. Hack je de makelaar, weet je alles! Maar goed, er wordt tenminste wat gedaan, alleen denk ik niet dat het een duurzame oplossing is.

SeatRider @XchangeVisions • 23 december 2013 09:43

Niet als de identity provider de gevoelige gegevens eerst encrypt met de public key van de service provider. De makelaar is dan alleen doorgeefluik van SAML assertions en kan zelf niets lezen.

xbeam 20 december 2013 00:35

Woezh en weg is alle privacy.

Waarom moet de overheid weten bij welke webshops ik koop.

Ik zie de blauwe brief al komen.

Geachte meneer X

Wij hebben geconstateerd. Dat u dit jaar meer heeft uitgegeven dan dat u volgens onze gegevens verdient heeft.

Hoe kunt u dit verantwoorden?

Zonder tegenbericht gaan wij er vanuit dat u uitgaven ook u inkomsten zijn geweest en word u inkomen aangiften verhoogt het teveel uitgeven bedrag.

U word verzocht om de nog verschuldigde inkomsten belasting binnen 2 weken te voldoen met een verhogen van de wettelijke rente.

Vriendelijke groet
De overheid.

Verwijderd @xbeam • 20 december 2013 07:50

Hahah echt he!!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: