[Overheidsbeleid:] Authenticatie / DigiD; uitsluiting door toepassing Big Tech?

Iets waar ik onlangs pas tegenaan liep, maar wel behoorlijk akelig vind als het werkelijkheid wordt, is het volgende: Overheid gaat inloggen via DigiD met sms-controle op termijn uitfaseren - Security.NL

Nu klinkt dit op zichzelf misschien wat oninteressant, maar het heeft in de huidige vorm wel degelijk grote gevolgen voor een behoorlijke groep mensen. Een groep waartoe ik ook behoor; namelijk de mensen die niet akkoord gaan met de privacyverklaringen en licentieovereenkomsten van Google, Apple, Microsoft et al. Ik bezit dus geen smartphone met Android of iOS, en zou dan “op termijn” dus buitengesloten gaan worden van een essentiële overheidsdienst.

Dit is niet omdat ik “technisch niet vaardig ben”, zoals de staatssecretaris de groep “mensen zonder Google/Apple-smartphone” doet voorkomen. Juist omdat ik vrij veel kennis heb van besturingssystemen, embedded firmware en netwerken, heb ik een hele bewuste keuze gemaakt om geen Apple- of Google-telefoon te bezitten.

De overheid, bij machte van Logius, gaat op deze manier mensen effectief dwingen om zaken te doen met één of twee Amerikaanse private bedrijven. Ze moeten hun apparaten aanschaffen, en die apparaten - waarvan de broncode niet inzichtelijk is - vertrouwen met hun meest persoonlijke gegevens. En voordat ze die apparaten überhaupt mogen gebruiken, moeten ze akkoord gaan met een tientallen pagina’s tellende licentieovereenkomst en nog langere privacy policy. Om de niet-vrije / gesloten applicaties van de overheid te kunnen installeren, hebben deze mensen ook nog eens een account bij de “stores” van deze bedrijven nodig, waarvoor ze ook weer akkoord moeten gaan met tientallen pagina’s aan juridische overeenkomsten. Alleen maar om straks nog te kunnen inloggen op websites van de Nederlandse overheid.

En dat terwijl het nota bene de overheid zelf is die zegt dat wij als Nederland te afhankelijk zijn van Amerikaanse technologiebedrijven. Waarom wordt er dan gepusht om iets zo essentieel als DigiD volledig in handen van Apple en Google achter te laten? Bovendien hebben we al jaren een open standaardenbeleid in Nederland, dat teruggaat tot de motie-Vendrik uit 2002. Maar keer op keer voert de overheid weer niet uit wat ze beweren te willen nastreven.

Ik heb tientallen redenen om geen zaken met buitenlandse techbedrijven te willen doen, maar los daarvan is het voor mij als libertariër ook onverkropbaar dat je als burger niet zelf de keuze mag hebben met welke bedrijven je in zee wilt gaan, maar dat de overheid dit voor je gaat bepalen. Ik wil uitsluitend gebruik maken van software waarvan de broncode beschikbaar is; die ik zelf kan auditen, compileren en installeren. Ik wil zelf bepalen welke bedrijven ik geld wil geven. Ik wil niet dat een overheid me gaat vertellen welke producten ik moet kopen, welke licentieovereenkomsten ik moet accepteren of welke apparaten ik in mijn huis moet vertrouwen.

De huidige situatie, met SMS-authenticatie als 2FA, is wellicht niet 100% waterdicht, maar het is wel platformonafhankelijk. Iedereen kan, ongeacht wat voor telefoon diegene bezit, SMS-berichten ontvangen. Ook mijn Nokia 3310 kan dat, evenals mijn PinePhone met Debian. Zelfs mensen met alleen een vaste telefoonlijn kunnen SMS-berichten ontvangen, in gesproken vorm. Het is misschien geen perfecte implementatie, en andere vormen van tweefactorauthenticatie mogen er best naast bestaan, maar SMS is niet-discriminerend. Het legt verder geen gedwongen winkelnering op.

Dat is iets dat “apps” altijd wel doen. Want hoeveel “apps” van de overheid werken er nu op andere platformen dan die van Google of Apple? Van hoeveel is er broncode beschikbaar zodat ze door een derde partij geport kunnen worden? Je wordt altijd weer gedwongen om met één van die twee bedrijven in zee te gaan, of je mag niet meedoen. Effectief kunnen we stellen dat private Amerikaanse bedrijven met hun licentieovereenkomsten en privacy policies bepalen welke burgers in Nederland bepaalde rechten hebben. Alleen zij die een contract met ze willen aangaan, mogen meedoen.

Uit eigen ervaring weet ik wat de gevolgen kunnen zijn. Toen ik 18 was, wilde ik studeren. Maar geen enkele universiteit liet me toe, omdat ik geen contract met Microsoft wilde aangaan. Ik heb nooit een computer met Windows gehad, en wil daar ook absoluut geen verandering in brengen. Ik ga niet akkoord met Microsoft’s gebruikersovereenkomsten en privacyvoorwaarden, en dan gaat Microsoft niet akkoord met mij als gebruiker. Zodoende gebruik ik hun software dan ook niet. Dat is een recht dat ik als Nederlands staatsburger toch zou moeten hebben; geen zaken doen met een bepaalde Amerikaanse firma? Zo raar is dat toch niet, zou je zeggen?
Uiteindelijk heb ik mezelf maar opgeleid en het onderwijssysteem op mijn 18e de rug toegekeerd. Ik ben dan op dat gebied nog wel goed terechtgekomen, maar het is toch van de zotte dat zoiets mogelijk is binnen een systeem dat vrijwel volledig door belastinggeld wordt gefinancierd? Nu met DigiD zie ik precies hetzelfde weer gebeuren als toen in het onderwijs aan de hand was (en nog steeds wel zal zijn).

Zodra die SMS-authenticatie verdwijnt, wordt er weer op kosten van de belastingbetaler een technologisch discriminerend systeem in stand gehouden, en worden Amerikaanse techbedrijven weer de “gatekeepers” die bepalen welke burgers toegang hebben tot digitale dienstverlening. Dat een staatsecretaris die groep dan afdoet als onwetenden, is schrijnend. Aan de ene kant beweert de overheid voorstander te zijn van open standaarden, van platformonafhankelijkheid, en dat de macht van “big tech” te groot is, maar aan de andere kant zijn ze zelf voor een groot deel schuldig aan de huidige situatie. Verder is er voor dit specfieke probleem al lang een hele geschikte oplossing voor handen: FIDO2. Op de website van Logius of DigiD is daar echter niets over te vinden.

Logius zou FIDO2 heel makkelijk voor DigiD kunnen implementeren, en die oplossing zou stukken veiliger zijn dan zowel de SMS-authenticatie als de proprietary “DigiD-app”. Een andere optie zou zijn om een random reader te verstrekken die verder geen netwerkstack heeft, zoals bijvoorbeeld ING ook is gaan doen bij het uitfaseren van TAN-codes. Dat zou ook uitkomst kunnen bieden voor het scannen van identiteitskaarten in de toekomst, bijvoorbeeld. Maar ook daar wordt allemaal met geen woord over gerept. Het scannen van die identiteitskaarten zou wel vanaf een computer kunnen, maar hiervoor worden dan weer uitsluitend computers met besturingssystemen van Microsoft en Apple ondersteund. Dan zit je in precies dezelfde situatie als met telefoonapplicaties, alleen dan zijn het niet Google of Apple maar Microsoft of Apple waarmee je verplicht een verbintenis moet aangaan, en verplicht moet vertrouwen met je meest persoonlijke gegevens.

Nee, mensen zonder Android- of Apple-telefoon en zonder Windows- of Apple-computer zijn zo digibeet, die moeten iemand anders maar machtigen om hun zaken te regelen. Maar goed, zelfs als ik dat al zou willen, is er in mijn hele familie- en vriendenkring ook niemand met zo’n telefoon of computer; nog los van het feit dat ik helemaal niet wil dat iemand anders mijn overheidszaken gaat regelen. Dan moet ik iemand anders met zijn of haar onveilige, niet door mij beheerde telefoon of computer toegang gaan geven tot mijn meest persoonlijke data. En dit hele voorstel had DigiD “veiliger” moeten maken, zeggen ze dan. Maar de overheid en Logius lijken volledig te ontkennen dat mensen die niet met “big tech” in zee willen gaan überhaupt bestaan.

Ik heb hierover onlangs een mail aan mijn favoriete Kamerlid gestuurd, en ik hoop dat meer mensen volgen. Ik denk dat er binnen onze gemeenschap wel meer mensen zijn die er vergelijkbaar over denken.

6 likes

Idem. Dit heb je goed verwoord en ook ik zie dat je geen keuze wordt gelaten. Dat we verder nadenken, mogelijkheden en keuzes zien en die ook als betere optie uitgewerkt willen voor iedereen wordt consequent terzijde gelegd. De open digitale overheid zie ik als een wassen neus als deze vervolgens alleen beleid uitvoert dat mensen uitsluit op basis van volgzaamheid van Amerikaanse bedrijven. Al een tijd vraag ik me af wie er nu wérkelijk de wetten bepaalt: de techindustrie of de trias politica?

Zo bijv. ook met de Green Pass. Als je je niet laat registreren, je niet conformeert aan de massa word je als digibeet of niet toerekeningsvatbaar iemand verklaard, als individue genegeerd en terloops als aso beschouwd die anderen zou beletten in hún vrijheden. De gang van zaken zoals jij die zo goed schetst bevestigt me alleen in het feit dat ik niet mee wil gaan in de fratsen van de overheid en/of big-tech.

De uitgebreide brief eerder dit jaar naar ‘mijn favoriete parlementariër’ voorzien van kritiek, consequenties van voorgenomen besluiten en verbetervoorstellen op de DMA en DSA erder is niet beantwoord.

2 likes

In een ver, ver verleden heb ik het redelijk ver kunnen schoppen. Ik heb, ergens in 2011, met een aantal Kamerleden gesproken, waaronder CDA’ers en PvdA’ers, over de situatie in het onderwijs. Er zijn ook meerdere keren Kamervragen gesteld naar aanleiding van brieven die ik stuurde, en ik ben ook een keer uitgenodigd op het Ministerie van OCW, waar ik heb geluncht met één van de ambtenaren van, destijds, minister Bussemaker. Toen schrok ik wel even van de lunchlocatie aldaar. Ze mogen niet klagen, laten we het daar op houden.

Maar goed, echt heel veel effect heeft dat allemaal ook niet gehad. Volgens mij is de situatie in het onderwijs nog steeds een drama, zo niet erger dan destijds.

Ik vraag me wel af waar de situatie met DigiD toe gaat leiden. Want of papier als fallback blijft bestaan, bewijfel ik toch ook wel ten zeerste. Ik maak me hier best zorgen om, want ik ga echt onder geen beding een contract afsluiten met een bedrijf als Apple, Google of Microsoft. Maar om dan weer juridische stappen te gaan moeten ondernemen, is ook weer zo’n gebed zonder eind.

2 likes

Ben het helemaal met je eens, misschien nog een optie om niet alleen het favoriete kamerlid, maar ook enkele andere kamerleden die in de digitale commissie van de tweede kamer zitten dezelfde email te sturen, evenals BOF, privacy first en eventueel consumentenbond om hun mening te vragen mbt tot je onderwerp?

Voor zover ik weet wordt dat e-digid ingegeven door: afspraken in EU(om universeel overal in alle landen jezelf digitaal te kunnen legitimeren, voor oa aanvragen v (reis)documenten in het buitenland), en verder om juist onafhankelijker te worden v apple en google.

Onderstaande link al keer geplaatst op dit forum onder: Digitale identiteitsbewijzen 5 juni.

Verder waarschijnlijk al bij je bekend, maar hieronder link met alle opties mbt tot inloggen digid voor de toekomst. Smartphone is dus niet perse noodzakelijk voor inloggen met hoogste beveiligingsniveau. Wel lijkt er door de afspraken in EU voor gekozen te zijn dat dit inloggen op hoogste beveiligingsniveau alleen beschikbaar kan zijn met NFC chip op ID kaart of paspoort.

Het probleem is alleen dat de optie inloggen met externe cardreader alleen beschikbaar wordt/is voor Mac en windows, en daar zou dus linux aan toegevoegd moeten worden.

https://www.logius.nl/diensten/digid/documentatie/functionele-beschrijving-digid

3 likes

Dan kom je dus in precies dezelfde situatie als met telefoonapps, alleen dan zijn het niet Google en Apple maar Microsoft en Apple. Ook dan moet je een EULA en privacy policy accepteren, een apparaat aanschaffen en netwerktoegang geven, enzovoort.

Ja, ik sta zeker open voor suggesties en input. De mail die ik stuurde, lijkt behoorlijk op het bericht dat ik hier plaatste. Ik weet ook niet of het wellicht effectiever kan zijn wanneer verschillende mensen met dezelfde strekking een mail of brief sturen, of wanneer een groep een gezamenlijk statement doet. Ergens zou ik zeggen dat Freedom hier ook een mening over zou kunnen hebben, evenals Bits of Freedom.

Er zijn immers genoeg technische mogelijkheden om dit probleem te voorkomen: FIDO2, een random reader zoals banken hebben (waarmee je dus ook die NFC-chip in je ID-kaart kunt uitlezen), het open sourcen van de DigiD-applicatie, of het op zijn minst porten ervan naar een vrij platform als GNU/Linux., waarvoor geen EULA of privacy policy bestaat. Uiteindelijk maakte de Belastingdienst vroeger ook een aangifteprogramma voor Linux-desktops, al was dat wel proprietary.

Als er een lijstje gemaakt kan worden van organisaties die kunnen worden aangeschreven, wil ik dat zeker doen. En iedereen mag ook gerust de tekst van mijn bericht hergebruiken. Ik denk alleen wel dat het meer zin heeft als het niet van één enkele “klager” komt. Mijn casus in het onderwijs jaren geleden was ook tamelijk onsuccesvol omdat ik er alleen voor stond.

2 likes

en gezamenlijk doorborduren op het statement van Privacy First (zie eerdere post ) en onder verwijzing van de brieven van zowel BoF samen met Waag ten aanzien van het Stembusakkoord als PF zelf over dwang naar Apple en Google hebben gestuurd naar de formateur.

Mogelijk dat PF al iets juridisch in voorbereiding heeft of met hun specialisme een pro forma wil aanvragen. In ieder geval staat Vincent Böhre alvast aan onze kant.

@Michael Ik ben ook lid / voormalig coördinator van de Free Software Foundation Europe, dus die kan hier ook ongetwijfeld nog iets mee. Vroeger gebruikten we daarvoor nog wel eens iets als Etherpad, om dan met meerdere mensen aan een brief te werken. Ik kan natuurlijk zelf een mail sturen aan Bits of Freedom, Privacy First en de Consumentenbond (al zie ik mezelf niet echt als “consument” in dezen), maar een brief van wat bekende organisaties die politiek wellicht meer connecties hebben, zou waarschijnlijk meer indruk maken.

Vroeger had ik die connecties zelf ook nog wel, maar dat is lang geleden. Er is veel gebeurd sindsdien…

Dat lijkt me ook. Op diverse platforms voor mobiele open source speelt deze kwestie ook. Die kunnen we in dit kader, maar bijvoorbeeld ook voor mobiel bankieren waar hetzelfde speelt mobiliseren via FSF.

Nationale organisaties:

Eventueel ook partijen zoals EDRi, ANBO en voor de hand liggende politieke partijen die het Stembusakkoord hebben ondertekend.

Het verschil met mobiel bankieren is alleen wel dat daar altijd nog een fallback voor is in de vorm van een random reader. Ik heb rekeningen bij vier verschillende banken, en alle vier hebben een random reader die je gewoon kunt krijgen. Die van de Rabobank is de meest veelzijdige, en een dergelijk apparaat zou ook gebruikt kunnen worden om identiteitskaarten uit te lezen bijvoorbeeld. Die van Triodos is het simpelst, en heeft daarom voor bankieren mijn voorkeur.

Voor DigiD zou er zonder SMS-authenticatie echt geen fallback meer zijn. Als je geen systemen van Microsoft, Apple of Google gebruikt of kunt gebruiken, ben je 100% buitengesloten.

Als jij alléén die stappen moet zetten, dan is dat te ingewikkeld en duur.
Er zijn op dit forum en juist tussen de Freedom-klanten vast meerderen te vinden, die hun nek ook niet in de strop van de datagraaiers willen steken.
( ik ben daar één van )

Een gezamenlijke rechtszaak is dan te overwegen.

(… en kan Freedom daarbij faciliteren ?!? Al weet ik nu nog niet meteen HOE )

1 like

Wist niet dat banken zo’n reader hadden, ik ken alleen de scanner v ING(QR code) en het apparaat van ASN bank.(TOTP volgens mij)
Heb ook de technische kennis niet, dus vandaar dat ik daar niet op inging.

Vermoed ook dat dit probleem bij de beleidsmakers niet op het netvlies staat omdat ze allemaal een smartphone hebben met android en IOS en MAc of Windows gebruiken en het dus geen onwil is.
Zo’n procces van bewustwording voor beleidsmakers is waarschijnlijk altijd lastig.
Mij lijkt van belang:
-Welke voorwaarden zijn al afgesproken voor e-identificatie in EU.(want daar gaan ze niet meer aan tornen)
-Vermoed dat je ook niet aan de systematiek/voorwaarden die Logius voor Digid, zoals in mijn vorige postlink beschreven, ontkomt.
-Kom je met een pasklaar en makkelijk antwoord voor een probleem dat er is.(heb weleens gelezen dat ambtenaren dan ook zeer welwillend zijn, want iedereen is daar dan bij gebaat.
-Geen bedreiging voor de positie van de Big Five, want dan verlies je het altijd in de lobby.
-Ondersteuning van het lijstje van Michael hierboven evt aangevuld Consumentbond.
-Liefst zorgen dat de oplossing die bovenstaande organisaties kiezen allemaal in dezelfde lijn ligt.

En misschien ook: in eerste instantie pijlen hoe bovenstaande organisaties hier zelf in staan ipv meteen met een oplossing te komen of een mening te pushen. Dat gaat misschien minder snel, maar als ze zelf moeten nadenken ken je hun echte positie beter en kun je ook beter met argumenten komen om ze te overtuigen?

1 like

Volgens mij is het bevredigender om voor in het proces van implementatie te zitten en niet achteraan voor voldongen feiten te staan.
Nu actie ondernemen is ook veel minder werk en zeker een stuk goedkoper.

Helemaal mee eens,
maar we zien:

  • .1. regeringen ontkennen aanvankelijk een probleem (of “zien” het niet)
  • .2. beloven beterschap (pas NA enkele grote blunders)
  • .3. beginnen vaak pas te bewegen als het (vrijwel) te laat is

Mijn voorkeur is ook, dat wij onafhankelijk van datagraaiers mogen leven,
maar in vele items op dit forum zie je, dat regeringen hen graag (onbewust?) ten dienste staan.

En als het eenmaal zover is,
dan is het slim om analoge rechtszaken gezamenlijk aan te pakken.

Maar inderdaad:
laten we hopen “dat het eindelijk gaat lukken, eens een goede regering” (zie item op dit forum).

De Rabobank heeft ook een “Rabo Scanner”. Ik denk dat daar wel vrij akelige software op draait (waarschijnlijk Android), maar die dingen hebben in ieder geval geen netwerkstack. Er zit een camera in waarmee kleurcodes kunnen worden gescand, hij heeft een toetsenbord voor het invoeren van een pincode, en een NFC-reader voor het lezen van je bankpas. Voor internetbankieren vind ik het overkill en heb ik liever iets veel simpelers zoals de identifier van Triodos, maar voor het scannen van je identiteitsbewijs zou het ideaal kunnen zijn. Het is wel proprietary zooi, maar zonder netwerkstack is dat een heel stuk minder problematisch dan met.

Concrete oplossingen voor dit probleem zijn er dus gewoon al. Het eerder genoemde FIDO2 voor inloggen met 2FA, bijvoorbeeld met een (volledig open source) Nitrokey of (deels proprietary) YubiKey, en een random reader vergelijkbaar met een Rabo Scanner voor het scannen van identiteitsbewijzen.

Zeggen dat iedereen zonder Android/Apple-telefoon of Windows/Apple-computer een digibeet is die “maar iemand anders moet machtigen”, zoals de staatssecretaris nu doet, is wat mij betreft echt onacceptabel.

2 likes

Dat zeggen politici omdat ze gewoon niet beter weten(zoals in mijn vorige post), anti monopolie/oligopolie denkwijze/afhankelijkheid mbt IT bedenken ze gewoon niet. Ze verzuipen in de info en emails.
Het zegt meer over hun dan over jou, dus ik laat die onverschilligheid/dommigheid en inconsistentie van hun kant van me afglijden.
Je moet je er al in verdiept hebben, of als IT specialist in de kamer komen zoals bv Lisa van Ginniken van D66(en mogelijk anderen) om dit meteen te begrijpen.

Zo’n Grapperhaus is jurist wil gewoon Whats-app gebruiken, dus dan weet je het wel… Op zich ook wel weer te begrijpen gezien de hoeveelheid werk dat die mensen hebben gecombineerd met hun expertise(recht).

Het is volgens mij meer aan ambtenaren en kamerleden om hem op anti monopolie/oligopolie en afhankelijkheid v enkele grote bedrijven te wijzen, en/of moties hieromtrent in te dienen.

ps: om die Triodos reader te krijgen moet je volgens mij heel erg je best doen, vind hem nergens op hun site, ook daar staat alleen de app vermeld.

Al die Kamerfracties hebben toch ook talloze beleidsmedewerkers rondlopen? Daar zullen er toch wel tussen zitten die beseffen dat niet iedereen een Apple- of Google-telefoon heeft en we niet het hele land kunnen verplichten om die te kopen? Er is ooit al eens een rechtszaak geweest over het verplicht hebben van een zorgverzekering, door die gast van de Bond tegen Overheidszaken. Hij had die toen gewonnen omdat de overheid een burger niet mag verplichten een overeenkomst aan te gaan met een privaatrechtelijke organisatie. Dit is net zoiets.

Ik heb er gewoon eentje opgestuurd gekregen destijds. Maar ik ben al lang klant bij Triodos moet ik bekennen. Je zou ze eens een mail kunnen sturen en vragen wat je moet doen als potentiële nieuwe klant zonder Apple/Google-telefoon. Het lijkt me niet dat ze die hele groep willen buitensluiten, want het is juist zo’n linksige, inclusieve bank als het goed is.

Ik vrees dat je ze overschat. Steeds kleinere fracties, en dus minder medewerkers per fractie, die zich dan met alle onderwerpen moeten bezighouden!

1 like

Laat ik het anders stellen dan. Iedere partij in de Eerste en Tweede Kamer heeft toch wel minstens één lid zoals wij, die een partij hierop attent kan maken? Ik ben ook lid van zo’n splinterpartij, en heb hier wel direct een mail over gestuurd. Ik zou ook best deze situatie verder willen uitleggen aan zo’n parlementariër, en helpen met het opstellen van Kamervragen indien gewenst.

Dat niet iedereen dat kan of wil, snap ik. Maar per onderwerp heeft elke partij toch wel één of twee leden met kennis van zaken die een bijdrage kunnen en zullen leveren? Dat is toch het hele idee van “volksvertegenwoordiging”?

Verder denk ik dat een bedrijf als Freedom ook kan bijdragen aan die bewustwording, door actief te spreken over het feit dat er ook mensen bestaan die geen Google-, Apple- en Microsoft-spul kunnen, mogen en/of willen gebruiken, en actief opkomen voor die groep. Want waarschijnlijk zullen die mensen behoorlijk ruim vertegenwoordigd zijn in het klantenbestand. Sterker nog, ik zou het vreemd vinden als niet meer dan 90% van die groep Freedom als ISP heeft gekozen.

2 likes

Plus de Vaste Commissie Digitale Zaken

Had over bovenstaande nog een vraag omdat ik nauwelijks bekend ben met de techniek.

Heb net nog eens even goed op die site van logius gekeken naar activeren inlogfunctie identiteitskaart. Als je daar naast Mac-os en windows, Linux toevoegt is het “makkelijk” voor Logius en kunnen ze hun proces in stand houden.
Nadeel is dat wij dan hun software moeten downloaden, en die is niet opensource naar ik begrijp, dus je weet niet precies wat je op je computer zet.
Maar wat is dan precies wat je van Logius verwacht bij 1 van jouw, ongetwijfelt betere, oplossingen?
Moeten ze dan hun proces omgooien?
Want de info die van de cardreader komt moet gecombineerd worden met de info van inloggen username password op desktop. Nu gebeurd dat met software die zij volledig in de hand hebben en beheren. En dat zal in de toekomst niet anders zijn denk ik.

Kun je voor deze leek eenvoudig uitleggen hoe dat er dan uit zou zien/wat er nodig is en wat dit betekent voor het proces v Logius?