Ministerraad stemt in met wetsvoorstel voor eID en gebruik open standaarden

De ministerraad gaat het wetsvoorstel Digitale Overheid indienen bij de Tweede Kamer. Dit voorstel regelt het gebruik van het eID-platform en kan de overheid verplichten tot het gebruik van open standaarden.

De ministerraad maakt vrijdag bekend op voorstel van staatssecretaris Knops van Binnenlandse Zaken en Koninkrijksrelaties te hebben ingestemd met het wetsvoorstel digitale overheid. Het voorstel regelt de infrastructuur die nodig is voor de digitale dienstverlening van de overheid.

Zo is in de wet het gebruik van eID vastgelegd voor inloggen met een hogere mate van betrouwbaarheid dan het huidige DigiD bij diensten van de overheid en semi-overheid. Het eID-systeem gaat met verschillende betrouwbaarheidsniveaus werken en moet op termijn ook gebruikt kunnen worden voor authenticatie bij bedrijven en andere organisaties, zoals banken, webwinkels en verzekeraars.

De wet geeft daarnaast regels over het verplicht gebruiken van open standaarden voor het leveren van digitale diensten. Het gaat daarbij voornamelijk om de standaarden die op de lijst voor het 'pas toe of leg uit'-beleid staan. Verder staan in het voorstel regels omtrent veiligheid van informatie en privacy.

Het voorstel stond voorheen bekend als de Wet generieke digitale infrastructuur, of wet GDI. Op 15 november vorig jaar is de naam veranderd in Wet Digitale Overheid omdat deze naam beter zou passen bij de ambities voor de verdere digitalisering van het openbaar bestuur.

Lees meer

IT-banen

Reacties (69)

Anoniem: 392841
8 juni 2018 15:47

Mogelijke verbetering van DigiD (welke nou niet echt optimaal in gebruikersvriendelijkheid en veiligheid is): goed. Mogelijk koppeling met private organisaties: WTF.

Snow_King

@Anoniem: 392841 • 8 juni 2018 15:50

Hoezo niet? iDIN kan via de banken, maar ik zou het als bedrijf best fijn vinden als ik aan DigiD kan vragen: "Persoon X claimt 18 jaar of ouder te zijn, klopt dit?"

DigiD: True

Fijn! Dan kan ik de bestelling voort zetten.

Je hoeft dus niet zo zeer gegevens op te vragen, maar het zou wel heel fijn zijn als je vragen aan DigiD kan stellen en daar True/False op terug krijgt.

Alexing
@Snow_King • 8 juni 2018 16:00

Zulke vragen kunnen stellen is inderdaad prettig! Mits beperkt wordt welke vragen een website allemaal kan stellen. Alleen is het dan weer niet prettig als er een instantie achter zit die verzameld welke partijen allemaal mijn leeftijd hebben gecontroleerd.

Ik weet niet hoe eID precies in zijn werk gaat, maar het zou fijn zijn als de overheid soort certificaten signed die bewijzen dat ik een bepaalde eigenschap heb, zoals de eigenschap "ouder dan 18" en dat de partij die dit wil weten aan de bezitter vraagt om het certificaat in plaats van aan de verstrekker.

Check ook: https://privacybydesign.foundation/irma-uitleg/

[Reactie gewijzigd door Alexing op 8 juni 2018 16:03]

droner
@Alexing • 8 juni 2018 18:30

Dat zou dan weer in je account zichtbaar gemaakt kunnen worden, welke info er opgevraagd is middels je eID. Zo kun je voorkomen dat services teveel opvragen. Aan de voorkant nog even een akkoordverklaring voor het opvragen van specifieke info, bij enige discrepantie kan er zo een dagvaarding de deur uit.

Maar hoe goed we het ook verzinnen, het wordt een overheids IT project en dus kunnen we met enige zekerheid voorspellen:
- het wordt minimaal 4x duurder dan begroot
- het geheel wordt jaren later opgeleverd dan gepland
- het systeem zal daardoor al achterhaald zijn bij oplevering
- al onze gegevens liggen uiteindelijk op straat omdat er met een IT tent gewerkt gaat worden die meer interesse in overheidsbudgetten heeft dan in het maken van goed spul

ashemedai
@droner • 8 juni 2018 20:36

Het bestaat al en wordt al actief gebruikt in testscenario's middels eIDAS in Nederland in samenwerking met andere EU landen (sinds 2017). Het borduurt voort op veel van wat DigiD, eHerkenning, en idensys doen.

Zie o.a.: https://www.digitaleoverh...a-makelaars-aan-op-eidas/

batjes
@droner • 9 juni 2018 00:32

- het wordt minimaal 4x duurder dan begroot
- het geheel wordt jaren later opgeleverd dan gepland
- het systeem zal daardoor al achterhaald zijn bij oplevering
- al onze gegevens liggen uiteindelijk op straat omdat er met een IT tent gewerkt gaat worden die meer interesse in overheidsbudgetten heeft dan in het maken van goed spul

Wat is nu precies het verschil met het bedrijfsleven dan?

NBK
@batjes • 10 juni 2018 02:40

Bij bedrijven liggen in principe alleen de gegevens van klanten of leveranciers op straat. Niet die van iedereen.

xalvo
@droner • 8 juni 2018 20:55

Zo kun je voorkomen dat services teveel opvragen.

Je bedoelt controleren, voorkomen doe je er niet mee, als je het ziet is het al te laat.

Anoniem: 455617
@xalvo • 9 juni 2018 04:13

Dat ligt er maar net aan. Je kunt het systeem ook zo configureren dat je als gebruiker specifieke toestemming moet geven voor ieder gegeven dat gecontroleerd word. Zoiets als:

Jantje besteld een flesje cognac en claimt 18 jaar te zijn.

Verkoper vraagt aan eID systeem "Is Jantje 18 jaar of ouder?" (toegestaan) en "Is Jantje een man?" (niet toegestaan).

eID rapporteert aan Jantje dat de verkoper twee gegevens probeert te laten controleren (leeftijd en geslacht) met de vraag "Gaat u hiermee akkoord?".

Jantje kan nu meteen aangifte doen tegen de verkoper omdat ze proberen illegaal persoonsgegevens te achterhalen. Aangezien de bewijsvoering direct rond is kun je ook automatisch het CJIB inschakelen om de relevante boete te innen bij de verkoper.

[Reactie gewijzigd door Anoniem: 455617 op 9 juni 2018 04:15]

Backxs
@droner • 8 juni 2018 20:02

Grappig, of nouja dus eigenlijk niet, is dat ze al jaren proberen dagvaarding en beschikkingsprocedures te digitaliseren. Dat project is vele male meer dan 4x duurder dan begroot uitgevallen en ze zijn laatste geheel opnieuw begonnen dus wat betreft duur van het plan ook forse verlenging.

ashemedai
@Snow_King • 8 juni 2018 20:20

Dat kan middels eHerkenning/etoegang/idensys en het urn:etoegang:1.9:attribute:18OrOlder attribuut: https://afsprakenstelsel....ogus+natuurlijke+personen

En aangezien dat ook uit eIDAS komt zal het ook in eID zitten van wat ik weet.

Derk S
@Snow_King • 8 juni 2018 16:05

In een bepaalde mate is dat nog steeds hetzelfde in vergelijking met het opvragen van de gegevens. Je kunt dan als privaat bedrijf gewoon doormiddel van de true/false deduceren over welke persoon het gaat.

Ik neem aan dat dit niet alleen een systeem voor leeftijd verifiëren is, maar dat dit soort true/false vragen overal over gesteld kunnen worden.

Ze hebben het over verschillende levels van betrouwbaarheid, maar het is de vraag wat dat precies inhoud met verhouding tot de soort vragen die dan door private instellingen gesteld kunnen worden

3raser
@Derk S • 8 juni 2018 16:37

Je zou dit true/false systeem kunnen beveiligen door de organisatie eerst te laten opgeven welke gegevens zij precies nodig heeft om de dienst of service te kunnen bieden. Als een organisatie alleen je leeftijd wil kunnen verifiëren dan is het natuurlijk niet nodig dat ze weten van welk geslacht je bent of waar je geboren bent. Dit systeem is vergelijkbaar met de permissies in bijvoorbeeld Android. En door strenge controle vooraf en tijdens het verwerken van de gegevens moet het te doen zijn om eventueel misbruik te ondervangen.

ashemedai
@3raser • 8 juni 2018 20:41

Je bent een paar jaar te laat.

SAML RequestedAttributes: http://docs.oasis-open.or...oc-req-attr-req-v1.0.html

Gecombineerd met een attribuutcatalogus (zie andere post van me) en consentscherm en dat is de oplossing.

WillySis

@Derk S • 9 juni 2018 09:11

Het systeem zal veel meer gegevens gaan bevatten dan alleen je leeftijd. Het is een vervanger van je ID-kaart, dus gekoppeld aan de basisadministratie.De toegang tot het systeem is echter beperkt. Als je als private onderneming een leeftijd moet controleren, dan krijg je toestemming om alleen dat te doen. De rest blijft verborgen.

noil
@Snow_King • 8 juni 2018 16:00

En dat ga ik gewoon alle mogelijke id's voor personen langs om te checken wat hun leeftijd is (18+ voor alcohol sites, 65+ voor bejaarden voordelen eznzovoort)
En naast leeftijd bijv. andere checks op geslacht, BSN, namen, document nummer.

Hiermee kan ik een databank aanleggen en dit verkopen aan databrokers.

Snow_King

@noil • 8 juni 2018 16:08

Je kan het anders implementeren, je wordt richting de DigiD/eID site gestuurd en daar komt de vraag: "Tweakers.net zou graag willen weten of je ouder dan 18 bent, wil je hier antwoord op geven?"

Je kan zoiets dus prima afschermen en data graaien van bedrijven voorkomen.

ashemedai
@Snow_King • 8 juni 2018 20:33

Zo wordt het doorgaans ook in die flows geimplementeerd. Eerst authenticatie (authn), dan authorisatie (authz), en dan pas consent voor het verstrekken van eventuele gegevens richting de partij die hier om vraagt. Scrapen werkt gewoonweg niet in zo'n model. Voor authn/authz wordt doorgaans SAML gebruikt.

.oisyn
@noil • 8 juni 2018 16:17

1. Wie zegt dat de id's opvolgend zijn?
2. Wie zegt dat je dat soort dingen kunt opvragen zonder toestemming van de persoon in kwestie?

Ik vind het nogal kortzichtig geredeneerd eerlijk gezegd. Een dergelijk systeem impliceert in z'n geheel niet dat wat jij suggereert mogelijk is.

noil
@.oisyn • 8 juni 2018 17:10

Ik schets een scenario om te laten zien wat voor een risico's er kunnen zijn bij een niet goed doordacht systeem.
Je 2e punt lijkt me dan ook erg belangrijk om geen cambridge analytica scenario te krijgen.

Je eerste punt is eenvoudig te omzeilen, als de id altijd 12 cijfers bevat kan ik gewoon alles langs scrapen (als er geen toestemming nodig is) en bij niet bestaande id's gewoon doorgaan.

Om een 2e scenario te schetsen: slaat de overheid elke request op?
- dan hebben ze na een paar jaar een archief wanneer en hoe vaak ik alcohol koop.
- als adult content websites het gaan gebruiken weten ze hoe vaak we are beating our meat en wat voor soort site we bezoeken.

EraYaN
@noil • 9 juni 2018 15:22

Je 2e punt lijkt me dan ook erg belangrijk om geen cambridge analytica scenario te krijgen.

Je eerste punt is eenvoudig te omzeilen, als de id altijd 12 cijfers bevat kan ik gewoon alles langs scrapen (als er geen toestemming nodig is) en bij niet bestaande id's gewoon doorgaan.

Cambridge Analytica is een fout voorbeeld. De overheid gaat echt geen vriendenlijstjes bijhouden, en men moest daar ook toch echt toestemming geven voor de gebruiker zijn eigen informatie gedeeld werd, het probleem was meer dat Cambridge Analytica daarna bij gegevens van vrienden kon. Zo konden ze redelijk snel een grote database opbouwen, anders hadden ze iedereen los moeten vragen.

Eenvoudig te omzeilen? En je denkt toch zeker niet dat je gewoon even alles kan scrapen? Ik vraag me af of je begrijpt hoe vergelijkbare systemen werken (denk ASelect, OAuth etc.). Je kunt dat alleen "scrapen" als je van iedereen zijn accountnaam een wachtwoord hebt. En dat heb je niet.
Tig cijferige IDs (ook gewoon sequentieel), zijn ook geen enkel probleem, al zullen dat waarschijnlijk gewoon GUIDs worden en denk maar niet dat een externe service die IDs ooit te zien zal krijgen. Die krijgen gewoon een key die alleen uniek is voor de gebruikte API key en de gebruiker.

En daarbij zul je vrij veel moeten doen voor een API key denk ik zo, dus men ziet snelgenoeg als je "even" alle account probeert.

peidur
@noil • 8 juni 2018 16:10

Om te controleren of iemand meerderjarig is en daardoor wettelijk de beschikking mag hebben op producten voor meerderjarigen, dat is wellicht de laagste variant van leeftijdscontrole die ik zou begrijpen.
Maar zodra je inderdaad leeftijdssegmenten kunt gaan maken wordt dit een marketingtool.

Ook op basis van achternamen kun je bepaalde aannames doen, culturele afkomst bijvoorbeeld. Hier moet dus heel voorzichtig mee om worden gegaan

pookie79
@Snow_King • 8 juni 2018 19:38

Tot het een facebook-achtige collectie krijgt en ik helemaal niet wil dat een site op de achtergrond kan checken of ik bv rook. Bedrijven gaan hier niet in investeren om zeker te weten of je wel 18 bent als je tabak koopt. Dan willen ze wel meer kunnen ophalen. Omdat het van de overheid is kun je niet zeggen heb ik niet zoals authenticatie via facebook. Het klinkt misschien gek maar voor mijn gevoel zit dat nl dichter bij elkaar dan ik zou willen. De overheid weet ook gelijk welke waarden voor wie waar wordt gecheckt.....

Anoniem: 455617
@pookie79 • 9 juni 2018 04:43

De overheid weet ook gelijk welke waarden voor wie waar wordt gecheckt.....

Dat hoeft niet perse zo te zijn. Je gaat er vanuit dat alle controle-aanvragen worden gelogd. Ik zie daar de noodzaak niet van. Sterker nog, volgens mij valt dat onder het kopje van verzamelen van persoonsgegevens, ook de overheid mag dat niet zomaar doen.

pookie79
@Anoniem: 455617 • 9 juni 2018 11:26

Niet zomaar, maar in het kader van veiligheid en of milieu kan altijd veel. Het zou naïef zijn om te denken dat de overheid die gegevens niet zou willen.

Anoniem: 455617
@pookie79 • 9 juni 2018 17:47

Het zou naïef zijn om te denken dat de overheid die gegevens niet zou willen.

Helemaal mee eens. Gelukkig zijn er tegenwoordig wel wat mogelijkheden om de overheid ter verantwoording te roepen indien wanneer ze over de schreef gaan. Bijvoorbeeld door naar het europese hof te gaan (lange procedures dat wel). Die hebben Nederland (en ook andere landen) al meermale teruggefloten waar het over privacy onderwerpen gaat (bewaarplicht is daar voorbeeld van).

[Reactie gewijzigd door Anoniem: 455617 op 9 juni 2018 17:48]

Anoniem: 392841
@Snow_King • 8 juni 2018 15:55

Ik zie wat je bedoeld, en ik ben er tot op zekere hoogte mee eens - alleen ben ik erg bang voor datacreep- en functioncreep. Zelfs als het vanuit de overheid goed opgezet is en een bedrijf alleen het strikte noodzakelijke binnenkrijgt (zoals dus true/false), weet ik niet of ik zo blij ben dat de overheid weet dat ik aanvragen bij bepaalde partijen heb gedaan... Enerzijds vanwege SIRI en dat soort systemen, en anderzijds aangezien vnl de VVD graag overheidsdatasets wil verkopen die ze hebben van mensen om zo de staatskas te spekken.

-knip-

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 8 juni 2018 16:01]

Dejagan
@Snow_King • 8 juni 2018 18:36

Daarom zou de overheid dus serieus werk moeten maken van een oplossing als eID middel die dat doet en de maatschappelijke bruikbaarheid ervan. Zo meen ik me te herinneren dat de Radboud Uni een best tof systeem daarvoor aan het ontwikkelen was.

hcQd
@Anoniem: 392841 • 8 juni 2018 15:51

Je moet dit vergelijken met de online variant van je ID tonen, bijvoorbeeld als je drank of tabak koopt in de winkel. In principe kun je precies aangeven welke informatie wordt gedeeld, zoals naam of leeftijd. Of het allemaal goed gaat werken is een tweede, maar het lijkt me een betere oplossing dan een kopie van je ID opsturen.

B64

@hcQd • 8 juni 2018 16:15

En toch zie ik dat niet zo. Dat ID tonen bij aankoop van drank is precies dat: tonen. ID weer in je zak en klaar, niets wordt vastgelegd.

Gaat dit digitaal, dan wordt er dus wel degelijk irts vastgelegd: dan is er dus een centrale database die logt wie bij welke webshop bestelt, en hoe vaak. Er zal vast wel bij wet worden vastgelegd hoe lang die informatie bewaard mag worden, maar controle daarop is moeilijk en bewaartermijnen worden nogal eens opgerekt, zelden verkort.

Ik hoop dat ik niet hoef uit te leggen waar de risico's liggen?

Eerlijk gezegd kan ik geen reden bedenken waarom een webshop mijn ID zou moeten verifiëren. Betaling gaat altijd vooraf dus daar lopen ze geen risico. En mocht er op wat voor manier dan ook toch gefraudeerd worden, dan heb je altijd nog zoiets als ondernemersrisico en opsporingsinstanties.

Batiatus
@B64 • 8 juni 2018 18:31

Ja en nee. Er wordt natuurlijk van alles gelogd, afhankelijk van de reden waarom iets gelogd wordt. Voor elk van deze redenen worden er bewaartermijnen vastgesteld. Die bewaartermijnen zijn overigens nog in consultatie, idee is dat de wet 01-01-2019 definitief wordt. Op het moment wordt er gewerkt aan de implementatie die polymorfe pseudoniemen wordt genoemd. Hiermee moet worden voorkomen dat medewerkers van de overheid inzicht hebben in het surfgedrag van haar burgers. De polymorfe pseudoniemen zorgen ervoor dat je unieke ID continue verandert. Hiermee is het voor een medewerker van de rijksoverheid dus niet in te zien wie welke actie uitvoert. Toelichting over PP:
https://www.cs.ru.nl/E.Ve...tions/PP_in_onderwijs.pdf

ashemedai
@B64 • 8 juni 2018 20:29

Niet centraal. Elke aanbieder van een middel heeft zijn eigen audit-database waarin transacties worden bijgehouden. Dit is ook nodig om eventuele fraudezaken te kunnen bewijzen of ontkrachten. Hier zijn strikte bewaartermijnen en -condities voor. Tevens worden alle aangesloten bedrijven regelmatig (half-jaarlijks of jaarlijks) compleet doorgelicht middels audits door externe bureaus. De lijst met mensen die dan ook toegang hebben tot zulke databases is beperkt tot een x aantal personen die hiertoe bevoegd zijn ivm eerder genoemd fraudeonderzoek en troubleshooting.

Het enige dat vastgelegd wordt is de flow van het inlogprocess (authenticatie/authorisatie). Wat en hoeveel jij bestelt blijft bij die webshop komt nooit en te nimmer bij die authenticatieaanbieders en hun logs terecht.

B64

@ashemedai • 8 juni 2018 23:44

Het enige dat vastgelegd wordt is de flow van het inlogprocess (authenticatie/authorisatie). Wat en hoeveel jij bestelt blijft bij die webshop komt nooit en te nimmer bij die authenticatieaanbieders en hun logs terecht.

Het zou ook wel heel bont worden als er meer dan dat wordt vastgelegd.

Maar een centrale registratie van alle bedrijven waar ik als klant/relatie zaken mee doe (want daar hebben we het hier over) vind ik al een behoorlijk zwaar middel. Een veel te zwaar middel eigenlijk.

Elke aanbieder van een middel heeft zijn eigen audit-database waarin transacties worden bijgehouden. Dit is ook nodig om eventuele fraudezaken te kunnen bewijzen of ontkrachten. Hier zijn strikte bewaartermijnen en -condities voor. Tevens worden alle aangesloten bedrijven regelmatig (half-jaarlijks of jaarlijks) compleet doorgelicht middels audits door externe bureaus. De lijst met mensen die dan ook toegang hebben tot zulke databases is beperkt tot een x aantal personen die hiertoe bevoegd zijn ivm eerder genoemd fraudeonderzoek en troubleshooting.

Kortom, het electronisch patientendossier tot de tiende macht. Nou dient het EPD nog een praktisch doel, maar we kennen allemaal de voorbeelden van gevallen waar al die restricties en waarborgen niet gehandhaafd worden of gewoon niet bestaan. En we kennen ook allemaal de voorbeelden van datalekken bij bedrijven - als gevolg van hacks of onvoldoende beveiliging.

Dus nou ben ik heel benieuwd wat voor fraudegevallen er voorkomen kunnen worden met het beschikbaar stellen van eID voor commerciele bedrijven. Ik ken weinig bedrijven die als gevolg van ID-fraude ten onder zijn gegaan, dus ik ben een beetje bang dat we weer een flink stuk privacy inleveren om het leven van een paar grote bedrijven (banken, verzekeringsmaatschappijen) een beetje aangenamer te maken.

[Reactie gewijzigd door B64 op 8 juni 2018 23:45]

I-King

@B64 • 8 juni 2018 16:24

Weet je hoeveel winkels 't pasje door een lezer halen? Zodat ze de 'check' extern leggen en ze de kassamedewerker van 16 jaar niet meer belasten? Dan zit je dus met een vergelijkbaar of zo mogelijk nog groter risico!

B64

@I-King • 8 juni 2018 16:45

OK, ik wist niey dat dat gebeurt - op m'n 53e wordt ik niet zo vaak om 'n ID gevraagd.

Maar dan vraag ik me wel af wat die lezer doet: contact leggen met een server om de gegevens te verifiëren (en zo ja, welke server is dat dan?), of leest die het pasje met OCR en geeft aan de kassamedewerker een OK/niet-OK-melding? Dat laatste lijkt me voor die toepassing ruimschoots voldoende...

Fruitschaal
@Anoniem: 392841 • 8 juni 2018 15:56

Bij iOS hebben applicaties ook niet direct toegang tot vingerafdrukken/gezicht-scans maar gebruiken dit wel voor bijvoorbeeld bankgegevens te bevestigen/in te loggen. Ik verwacht dat dit op een zelfde soort wijze gaat werken. Dit kan dus prima werken naar mijn mening.

stresstak
@Anoniem: 392841 • 8 juni 2018 19:07

DigiD (welke nou niet echt optimaal in gebruikersvriendelijkheid is):

Gebruiksvriendelijkheid valt reuze mee. Variant op naam en wachtwoord.

WillySis

@Anoniem: 392841 • 9 juni 2018 09:15

eID is geen vervanger van DigiD, maar van de identiteitskaart.
Proeven zijn inmiddels gestart: https://www.nu.nl/interne...ntiteitskaart-testen.html
Als vervanger van DigiD wordt IDIN al gebruikt.

Eesti
8 juni 2018 16:16

Toevallig komt volgende week de koning, en een ploegje overheidsvolk, in Estland op bezoek om te kijken hoe het wel moet.

Er zal onder andere een top plaatsvinden waarin Estland hun ervaring zal delen met vertegenwoordigers van de Nederlandse staat. Ik hoop dat ze er wat van opsteken, want ik moet zeggen dat het toch wel verrekte handig is om vergevorderde rechten te hebben - zowel voor burgers en bedrijven, als voor de overheid.

ashemedai
@Eesti • 8 juni 2018 20:47

Je loopt helaas achter op de feiten. Estse middelen (en aantal van andere landen) zijn allang te gebruiken in Nederland: https://www.eherkenning.n...bij-gemeente-wassenaar-2/

Chrotenise
8 juni 2018 15:45

Ik hou mijn hart alvast vast voor alle ouderen die ik ken die op termijn over moeten naar dit nieuwe systeem en er niets van snappen - en dus pontificaal bij mij dumpen

Als ik naar de niveau's kijk, snap ik ook niet waarom DigiD niet 'gerefactored' kan worden tot een van de lagere security eIDs.

[Reactie gewijzigd door Chrotenise op 8 juni 2018 15:47]

kvdveer
@Chrotenise • 8 juni 2018 16:00

Ik hou mijn hart alvast vast voor alle ouderen die ik ken die op termijn over moeten naar dit nieuwe systeem en er niets van snappen - en dus pontificaal bij mij dumpen

Ik hoop dat de burgerkant gewoon DigiD blijft, desnoods met een eID plakkertje er op. Zoals je aangeeft zou dat qua interface gewoon moeten kunnen. De afnemerskant zal veranderd moeten worden, om ruimte te bieden aan de niveaus en niet-overheid afnemers. Dat is voornamelijk werk voor juristen en API-ontwikkelaars, lijkt me.

Bor
@Chrotenise • 8 juni 2018 16:04

Ik hou mijn hart alvast vast voor alle ouderen die ik ken die op termijn over moeten naar dit nieuwe systeem en er niets van snappen - en dus pontificaal bij mij dumpen

In de praktijk zal dat vast meevallen. Dezelfde mensen lukt het vaak ook om te internetbankieren of iets anders te gebruiken wat af en toe aan verandering onderhevig is. Natuurlijk komt er ook een stuk voorlichting en uitleg bij de vervanging en zal het systeem redelijk intuïtief moeten zijn in gebruik.

Het alternatief is nooit iets veranderen en altijd met legacy spullen blijven werken met alle (security) risico's van dien.

[Reactie gewijzigd door Bor op 8 juni 2018 16:06]

HenkEisDS
@Chrotenise • 8 juni 2018 16:07

Thuiscomputers zijn al meer dan 20 jaar gemeengoed, dus echt moderne technologie mag je een PC niet meer noemen. Als ik kijk naar mijn ouders dan is het niet zozeer onkunde, maar vooral ongeduld en onwil om het snappen. Als ouderen, die niet je luiers hebben verschoond, bij jou aankloppen dan mag je hier best geld voor vragen.

Quilt
@Chrotenise • 8 juni 2018 16:14

Lijkt mij vooral een kwestie van mentaliteit.

Ik zie het ook niet zitten om 15' te rijden naar het stadscentrum, daar betalend te parkeren, naar de administratie te gaan, bonnetje te trekken, nog eens x minuten wachten, dan mijn zaken aan het loket regelen, door te automatiseren ambtenaar waarvoor we belastingen betalen, en dan terug te rijden.
Allemaal voor iets wat STP van thuis kan met de pc.

Maar als een bejaarde een- of tweemaal een tutorial van 5' moet bekijken, dan is het huis te klein.

Ik zie niet in waarom mijn tijd X keer minder waardevol is dan die van de ouderen.

[Reactie gewijzigd door Quilt op 8 juni 2018 16:15]

JAVE
@Quilt • 8 juni 2018 17:01

Ouderen hebben minder tijd te gaan dan jij. Daarom dringen ze ook vaak voor bij winkels

BTW, waarom ' in plaats van (bv) min?
Ik lees ' als lengtemaat (1 voet). Een tutorial van anderhalve meter is inderdaad wellicht te groot voor een ouderenappartement, dus de laatste kan dan weer wel

WillySis

@Chrotenise • 9 juni 2018 09:34

eID is niet opgezet als vervanging van DigiD. Je kan dus gerust. Er zullen geen rijen ouderen bij je aankloppen.

Voor DidiD is er al een alternatief. Dat is het door de banken ontwikkelde IDIN. De belastingdienst en een aantal verzekeraars gebruiken dit inmiddels. Als men in kan loggen bij zijn/haar bank zal IDIN niet zoveel problemen opleveren. Het is gemakkelijker dan DigiD.

eID is een digitale ID-kaart en dus meer te zien als vervanger of aanvulling van de ID-kaart. In plaats van een plastic kaartje krijg je dan een app. De app moet altijd met biometrische gegevens (vingerafdruk of gezichtsscan) geopend worden. De ID kaart is een internationaal erkend document, maar of dat ooit met de app gaat gebeuren is maar de vraag. De ID-kaart en paspoort zullen zeker nog vele jaren blijven bestaan.

Refactoren van DigiD is niet mogelijk. DigiD is alleen een inlogmethode. De achterliggende database is maar beperkt. Na inloggen worden de gegevens verder uit database van de dienst waar je inlogt. De eID is gekoppeld aan de basisadministratie. Daar staat ontzettend veel in.

Anoniem: 455617
@Chrotenise • 9 juni 2018 18:24

Ik hou mijn hart alvast vast voor alle ouderen die ik ken die op termijn over moeten naar dit nieuwe systeem en er niets van snappen - en dus pontificaal bij mij dumpen

Ja, ik zie mijn vader al. Dat word sowieso hilarisch als je die achter een computer zet. Gelukkig dumpt die het bij mijn zus.

AMD_Aero
8 juni 2018 16:05

In België hebben we sinds 'kort' https://www.itsme.be. Dit heeft ervoor gezorgd dat ik zonder zorgen kan inloggen op overheidsdiensten (belastingen, my pension, ...).
Ik moet enkel mijn vingerafdruk gebruiken op mijn smartphone.

Je bank app kan verifiëren wie je bent. En zo heb je geen identiteitskaart lezer meer nodig of 'token'.

Hopelijk leid dit in Nederland ook voor inovatievere oplossing.

orca
@AMD_Aero • 8 juni 2018 16:21

Dat moet mijns inziens nooit een taak voor een bank zijn.. Het enige wat de bank moet doen is valideren of de transactie uitgevoerd mag worden.
Ik wil geen bank die voor andere doelen de verificatie gaat doen. Hoe vaker gebruikt hoe groter de kans dat er wat fout gaat. Het gaat anderen ook niet aan bij welke bank ik zit en zo.Als wat koop en via iDeal betaal dan is dat onderdeel van de transactie, daarbuiten gaat het niemand wat aan. Ook hoeft de bank niet te weten wat voor bedrijven mijn gegevens willen checken..
De overheid mag zoiets opbouwen maar liever niet een commerciële bank...

killercow
8 juni 2018 17:05

Het is eigenlijk gek dat webwinkels moeten weten wie ik ben. Of iig moeten weten waar ik woon.
Het betalen is een functie van mij en de bank (aka, kan ik betalen, en betaal aan hen). Dit kan al redelijk transparant via betaalproviders die rekeningnummers, creditcardnummers onzichtbaar houden voor de webwinkel.
Echter dat zelfde kan natuurlijk met afleveradres gedaan worden. De winkel heeft mijn adres niet nodig, hoogstens een prijsopgave van hen naar mij van een transporteur, die dan uiteraard wel mijn adres weer moet hebben om te kunnen leveren. Als je de AVG strikt zou volgen zou je bij de verzameling van NAW gegevens *na* levering ook best een aantal vraagtekens kunnen stellen, je hebt ze namelijk niet meer nodig.

Batiatus
@killercow • 8 juni 2018 18:52

En wat gaat die webwinkel doen als jij, omdat je product stuk is gegaan binnen de garantieperiode, je geld terugvraagt? Ze zullen toch op een of andere manier moeten valideren dat jij degene bent die de aankoop heeft gedaan. Er moet volgens de AVG een gegevensverwerking plaatsvinden die voor het doel bestemd is en waar jij mee akkoord gaat. Met zo'n aankoop gebeurd dat gewoon, ook na je aankoop.

Amon-Re
8 juni 2018 15:54

Veiliger inloggen in digitale omgevingen van (semi)overheden lijkt me een goed idee. Zeker in een tijd van toenemende digitale onveiligheid. Graag zou ik het creëren van een digitaal paspoort of ID een goed idee vinden voor meerdere gebieden van het internet. Als oplossing voor oneigenlijk gedrag en een eenvoudiger online leven.

Tegelijkertijd ben ik zelf niet voor (enkel) digitale vormen van administratieve taken voor burgers. Mijns inziens is het lastiger om overzicht te houden op de gehele administratie van een huishouden / persoon, wanneer het digitaal gebeurt. Zeker als de administratie gefragmenteerd wordt aangeboden.

Daarom zou ik ervoor zijn om óf het concept verder door te trekken óf er niet aan te beginnen. Dus veeg dan meteen email, sociale media accounts, bank accounts, etc. weg en maak één digitaal ID voor een persoon, waarop al het aanbod gebundeld wordt. Of biedt het op papier aan.

Gezien dat ze het BSN willen koppelen zijn ze al een stap op weg.
Beschrijving Wet digitale overheid eID/

[Reactie gewijzigd door Amon-Re op 8 juni 2018 15:56]

Bonobo
8 juni 2018 16:10

Maak gewoon een private/public key pair systeem met een user-friendly wrapper interface en je hebt een identificatie systeem die door simpele leken en technici kan worden gebruikt.

CAPSLOCK2000

Overheid
Politiek en recht

8 juni 2018 16:14

kan de overheid verplichten tot het gebruik van open standaarden.
<knip>
De wet geeft daarnaast regels over het verplicht gebruiken van open standaarden voor het leveren van digitale diensten. Het gaat daarbij voornamelijk om de standaarden die op de lijst voor het 'pas toe of leg uit'-beleid staan.

Ik snap het niet, wat voegt deze wet toe op het gebied van open standaarden?
Zijn die technieken nu echt verplicht, dus alleen "Pas toe" en geen "leg uit"?
Het woordje 'kan' suggereert een beetje dat er nog steeds uitzonderingen mogelijk zijn op grond van "leg uit". Dan verandert er niks aan de huidige status quo waarin zo'n beetje iedereen gebruik maakt van de uitzondering op grond van "leg uit".

[Reactie gewijzigd door CAPSLOCK2000 op 8 juni 2018 16:15]

CAPSLOCK2000

Overheid
Politiek en recht

8 juni 2018 16:26

Is er al iets geregeld rond de vraag wie er gebruik mag maken van deze technologie?
Met andere woorden, wie mag er om je digitale paspoort vragen?

Bij een nationaal inlogsysteem wordt ik toch een beetje bang voor Chinese "social credit score" praktijken waarbij je in de positie zou kunnen komen dat je online niks meer kan om dat je een conflict met de overheid hebt of webshops niet meer aan je kunnen/willen leveren als je niet via het overheidssysteem kan inloggen of niet genoeg punten hebt.

Voor winkeliers zou dat namelijk erg handig zijn, beter dan dat ze allemaal hun eigen inlogsysteem moeten bouwen en onderhouden. Vanuit het oogpunt van de vrije samenleving is het echter weer een controlepunt waarlangs de overheid kan volgen wat haar burgers doen, daar moeten we voorzichtig mee zijn.

Pimmetje16
8 juni 2018 18:10

Ik kan mij zo voorstellen dat je met dit systeem dingen kunt nagaan. Het beste zou zijn dat deze alleen true / false terug geeft.

Is persoon ouder dan 18 jaar. webshop example voert een redirect naar de E-ID provider met request informatie. De E-provider verplicht je om in te loggen als je dat nog niet was en toon een scherm met webshop.example wil weten of persoon 18 jaar of ouder is. U bent dit in dit geval. Wilt u deze informatie eenmalig delen met webshop.example. Klik hieronder om door te gaan. (redirect terug) met informatie dat dit het geval is.

(uiteraard is de data met bv een public/private key systeem beveiligd).

Nu is alleen de vraag wat doet de E-ID provider met deze informatie. De webshop heeft als het goed is geen (extra) informatie waar misbruik van gemaakt kan worden. De E-ID provider heeft dit wel. De vraag is willen we dat?

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Ministerraad stemt in met wetsvoorstel voor eID en gebruik open standaarden

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden