[Overheidsbeleid:] Authenticatie / DigiD; uitsluiting door toepassing Big Tech?

Iets waar ik onlangs pas tegenaan liep, maar wel behoorlijk akelig vind als het werkelijkheid wordt, is het volgende: Overheid gaat inloggen via DigiD met sms-controle op termijn uitfaseren - Security.NL

Nu klinkt dit op zichzelf misschien wat oninteressant, maar het heeft in de huidige vorm wel degelijk grote gevolgen voor een behoorlijke groep mensen. Een groep waartoe ik ook behoor; namelijk de mensen die niet akkoord gaan met de privacyverklaringen en licentieovereenkomsten van Google, Apple, Microsoft et al. Ik bezit dus geen smartphone met Android of iOS, en zou dan “op termijn” dus buitengesloten gaan worden van een essentiële overheidsdienst.

Dit is niet omdat ik “technisch niet vaardig ben”, zoals de staatssecretaris de groep “mensen zonder Google/Apple-smartphone” doet voorkomen. Juist omdat ik vrij veel kennis heb van besturingssystemen, embedded firmware en netwerken, heb ik een hele bewuste keuze gemaakt om geen Apple- of Google-telefoon te bezitten.

De overheid, bij machte van Logius, gaat op deze manier mensen effectief dwingen om zaken te doen met één of twee Amerikaanse private bedrijven. Ze moeten hun apparaten aanschaffen, en die apparaten - waarvan de broncode niet inzichtelijk is - vertrouwen met hun meest persoonlijke gegevens. En voordat ze die apparaten überhaupt mogen gebruiken, moeten ze akkoord gaan met een tientallen pagina’s tellende licentieovereenkomst en nog langere privacy policy. Om de niet-vrije / gesloten applicaties van de overheid te kunnen installeren, hebben deze mensen ook nog eens een account bij de “stores” van deze bedrijven nodig, waarvoor ze ook weer akkoord moeten gaan met tientallen pagina’s aan juridische overeenkomsten. Alleen maar om straks nog te kunnen inloggen op websites van de Nederlandse overheid.

En dat terwijl het nota bene de overheid zelf is die zegt dat wij als Nederland te afhankelijk zijn van Amerikaanse technologiebedrijven. Waarom wordt er dan gepusht om iets zo essentieel als DigiD volledig in handen van Apple en Google achter te laten? Bovendien hebben we al jaren een open standaardenbeleid in Nederland, dat teruggaat tot de motie-Vendrik uit 2002. Maar keer op keer voert de overheid weer niet uit wat ze beweren te willen nastreven.

Ik heb tientallen redenen om geen zaken met buitenlandse techbedrijven te willen doen, maar los daarvan is het voor mij als libertariër ook onverkropbaar dat je als burger niet zelf de keuze mag hebben met welke bedrijven je in zee wilt gaan, maar dat de overheid dit voor je gaat bepalen. Ik wil uitsluitend gebruik maken van software waarvan de broncode beschikbaar is; die ik zelf kan auditen, compileren en installeren. Ik wil zelf bepalen welke bedrijven ik geld wil geven. Ik wil niet dat een overheid me gaat vertellen welke producten ik moet kopen, welke licentieovereenkomsten ik moet accepteren of welke apparaten ik in mijn huis moet vertrouwen.

De huidige situatie, met SMS-authenticatie als 2FA, is wellicht niet 100% waterdicht, maar het is wel platformonafhankelijk. Iedereen kan, ongeacht wat voor telefoon diegene bezit, SMS-berichten ontvangen. Ook mijn Nokia 3310 kan dat, evenals mijn PinePhone met Debian. Zelfs mensen met alleen een vaste telefoonlijn kunnen SMS-berichten ontvangen, in gesproken vorm. Het is misschien geen perfecte implementatie, en andere vormen van tweefactorauthenticatie mogen er best naast bestaan, maar SMS is niet-discriminerend. Het legt verder geen gedwongen winkelnering op.

Dat is iets dat “apps” altijd wel doen. Want hoeveel “apps” van de overheid werken er nu op andere platformen dan die van Google of Apple? Van hoeveel is er broncode beschikbaar zodat ze door een derde partij geport kunnen worden? Je wordt altijd weer gedwongen om met één van die twee bedrijven in zee te gaan, of je mag niet meedoen. Effectief kunnen we stellen dat private Amerikaanse bedrijven met hun licentieovereenkomsten en privacy policies bepalen welke burgers in Nederland bepaalde rechten hebben. Alleen zij die een contract met ze willen aangaan, mogen meedoen.

Uit eigen ervaring weet ik wat de gevolgen kunnen zijn. Toen ik 18 was, wilde ik studeren. Maar geen enkele universiteit liet me toe, omdat ik geen contract met Microsoft wilde aangaan. Ik heb nooit een computer met Windows gehad, en wil daar ook absoluut geen verandering in brengen. Ik ga niet akkoord met Microsoft’s gebruikersovereenkomsten en privacyvoorwaarden, en dan gaat Microsoft niet akkoord met mij als gebruiker. Zodoende gebruik ik hun software dan ook niet. Dat is een recht dat ik als Nederlands staatsburger toch zou moeten hebben; geen zaken doen met een bepaalde Amerikaanse firma? Zo raar is dat toch niet, zou je zeggen?
Uiteindelijk heb ik mezelf maar opgeleid en het onderwijssysteem op mijn 18e de rug toegekeerd. Ik ben dan op dat gebied nog wel goed terechtgekomen, maar het is toch van de zotte dat zoiets mogelijk is binnen een systeem dat vrijwel volledig door belastinggeld wordt gefinancierd? Nu met DigiD zie ik precies hetzelfde weer gebeuren als toen in het onderwijs aan de hand was (en nog steeds wel zal zijn).

Zodra die SMS-authenticatie verdwijnt, wordt er weer op kosten van de belastingbetaler een technologisch discriminerend systeem in stand gehouden, en worden Amerikaanse techbedrijven weer de “gatekeepers” die bepalen welke burgers toegang hebben tot digitale dienstverlening. Dat een staatsecretaris die groep dan afdoet als onwetenden, is schrijnend. Aan de ene kant beweert de overheid voorstander te zijn van open standaarden, van platformonafhankelijkheid, en dat de macht van “big tech” te groot is, maar aan de andere kant zijn ze zelf voor een groot deel schuldig aan de huidige situatie. Verder is er voor dit specfieke probleem al lang een hele geschikte oplossing voor handen: FIDO2. Op de website van Logius of DigiD is daar echter niets over te vinden.

Logius zou FIDO2 heel makkelijk voor DigiD kunnen implementeren, en die oplossing zou stukken veiliger zijn dan zowel de SMS-authenticatie als de proprietary “DigiD-app”. Een andere optie zou zijn om een random reader te verstrekken die verder geen netwerkstack heeft, zoals bijvoorbeeld ING ook is gaan doen bij het uitfaseren van TAN-codes. Dat zou ook uitkomst kunnen bieden voor het scannen van identiteitskaarten in de toekomst, bijvoorbeeld. Maar ook daar wordt allemaal met geen woord over gerept. Het scannen van die identiteitskaarten zou wel vanaf een computer kunnen, maar hiervoor worden dan weer uitsluitend computers met besturingssystemen van Microsoft en Apple ondersteund. Dan zit je in precies dezelfde situatie als met telefoonapplicaties, alleen dan zijn het niet Google of Apple maar Microsoft of Apple waarmee je verplicht een verbintenis moet aangaan, en verplicht moet vertrouwen met je meest persoonlijke gegevens.

Nee, mensen zonder Android- of Apple-telefoon en zonder Windows- of Apple-computer zijn zo digibeet, die moeten iemand anders maar machtigen om hun zaken te regelen. Maar goed, zelfs als ik dat al zou willen, is er in mijn hele familie- en vriendenkring ook niemand met zo’n telefoon of computer; nog los van het feit dat ik helemaal niet wil dat iemand anders mijn overheidszaken gaat regelen. Dan moet ik iemand anders met zijn of haar onveilige, niet door mij beheerde telefoon of computer toegang gaan geven tot mijn meest persoonlijke data. En dit hele voorstel had DigiD “veiliger” moeten maken, zeggen ze dan. Maar de overheid en Logius lijken volledig te ontkennen dat mensen die niet met “big tech” in zee willen gaan überhaupt bestaan.

Ik heb hierover onlangs een mail aan mijn favoriete Kamerlid gestuurd, en ik hoop dat meer mensen volgen. Ik denk dat er binnen onze gemeenschap wel meer mensen zijn die er vergelijkbaar over denken.

8 likes

Idem. Dit heb je goed verwoord en ook ik zie dat je geen keuze wordt gelaten. Dat we verder nadenken, mogelijkheden en keuzes zien en die ook als betere optie uitgewerkt willen voor iedereen wordt consequent terzijde gelegd. De open digitale overheid zie ik als een wassen neus als deze vervolgens alleen beleid uitvoert dat mensen uitsluit op basis van volgzaamheid van Amerikaanse bedrijven. Al een tijd vraag ik me af wie er nu wérkelijk de wetten bepaalt: de techindustrie of de trias politica?

Zo bijv. ook met de Green Pass. Als je je niet laat registreren, je niet conformeert aan de massa word je als digibeet of niet toerekeningsvatbaar iemand verklaard, als individue genegeerd en terloops als aso beschouwd die anderen zou beletten in hún vrijheden. De gang van zaken zoals jij die zo goed schetst bevestigt me alleen in het feit dat ik niet mee wil gaan in de fratsen van de overheid en/of big-tech.

De uitgebreide brief eerder dit jaar naar ‘mijn favoriete parlementariër’ voorzien van kritiek, consequenties van voorgenomen besluiten en verbetervoorstellen op de DMA en DSA erder is niet beantwoord.

2 likes

en gezamenlijk doorborduren op het statement van Privacy First (zie eerdere post ) en onder verwijzing van de brieven van zowel BoF samen met Waag ten aanzien van het Stembusakkoord als PF zelf over dwang naar Apple en Google hebben gestuurd naar de formateur.

Mogelijk dat PF al iets juridisch in voorbereiding heeft of met hun specialisme een pro forma wil aanvragen. In ieder geval staat Vincent Böhre alvast aan onze kant.

Als jij alléén die stappen moet zetten, dan is dat te ingewikkeld en duur.
Er zijn op dit forum en juist tussen de Freedom-klanten vast meerderen te vinden, die hun nek ook niet in de strop van de datagraaiers willen steken.
( ik ben daar één van )

Een gezamenlijke rechtszaak is dan te overwegen.

(… en kan Freedom daarbij faciliteren ?!? Al weet ik nu nog niet meteen HOE )

1 like

Helemaal mee eens,
maar we zien:

  • .1. regeringen ontkennen aanvankelijk een probleem (of “zien” het niet)
  • .2. beloven beterschap (pas NA enkele grote blunders)
  • .3. beginnen vaak pas te bewegen als het (vrijwel) te laat is

Mijn voorkeur is ook, dat wij onafhankelijk van datagraaiers mogen leven,
maar in vele items op dit forum zie je, dat regeringen hen graag (onbewust?) ten dienste staan.

En als het eenmaal zover is,
dan is het slim om analoge rechtszaken gezamenlijk aan te pakken.

Maar inderdaad:
laten we hopen “dat het eindelijk gaat lukken, eens een goede regering” (zie item op dit forum).

Plus de Vaste Commissie Digitale Zaken

Jazeker, alleen "wanneer het uitkomt“

“Software die met publiek geld is ontwikkeld moet zoveel mogelijk aan de samenleving worden teruggegeven. Dat is het uitgangspunt rondom het open source beleid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.”

1 like

En wat is er mis met onafhankelijke audit van de code om mee te beginnen?

En waarom een Linux desktop DigiD-applicatie?.. een “CLI” kan ook met een evt. grafisch frontend gecombineerd worden.
Dan verplicht je ook niet wat het frontend moet zijn. xfce, gnome, kde, X11/Wayland…
Niet alleen x86, maar ook ARM in een paar smaken… En zeggen dat dat niet gemaakt kan worden kan niet want een android build lukt wel.? (meestal ARM icm X11 …) en Android ondersteuning moet dus toch al gemaakt worden voor een paar CPU smaken. (ook voor x86 vermoed ik). Voor Android en iOS zit je al snel aan een 10-tal versies vast. voor Linux op basis van CLI ben je met een 3 a 4 waarschijnlijk volledig gedekt.

ok, het was iets te kort door de bocht…

Echter voor een CLI versie is er lang zoveel niet nodig aan infra als voor een grafische omgeving. Dus nog steeds een goed alternatief en laat de FOSS wereld er dan maar een mooi frontend voor maken. Helemaal luxe zou naturlijk een DigiD-API zijn, lost waarschijnlijk gelijk ook andere issues op om het een en ander te valideren voor welk platform dan ook.

1 like

Ik geloof dat vanwege de ING reader het een en ander langzamer gegaan is dan eerst gedacht. En die reader werkt, ook interessant was het on-boarding protocol.

En het lijkt er idd ook op dat heel veel organisaties een blinde vlek hebben waarbij alleen zaken als WA, Google. Apple, FB oid dan wel een zelfgebouwde oplossing overwogen worden.

Hoeveel mensen kennen FIDO2…? beschikbaarheid van hardware kan ook nog een dingetje zijn.

I beg to differ. IMHO is USB gewoon een netwerk stack op zichzelf, het is ook gewoon packetized data. Daarom kun je ook makkelijk allerlei apparaten erop aansluiten.
Dat het geen direct IP netwerk stack is ben ik dan wel met je eens. Al kan via USB makkelijk een ethernet device gesimuleerd worden.
Zie poison tap:

Het gebruik van usbguard is zeker aan te raden, ook om te voorkomen dat een onbekende USB stick zomaar iets op je PC kan plaatsen. (usbguard is een Linux USB firewall).

En verpaking kan ook anders:

Vandaag een brief op de mat van CBR, dat mijn rijbewijs eerdaags verloopt. Maar je kan het digitaal verlengen, echt makkelijk…
Maar je voelt hem al, zo makkelijk gaat dat dus niet. Je hebt dan wel de digid app nodig. Ook moet je bij een erkende fotograaf een pasfoto laten maken die hem zelf inclusief jouw handtekening naar het CBR moet sturen.

Digid app moet je weer activeren door je rfid chip in je id kaart te laten lezen. Ik kreeg echter de melding dat de rfid chip in mijn id kaart leeg was en geen data bevatte.

Gelukkig kon de digid app wel geregistreerd worden met jawel, een sms die dus op dezelfde telefoon binnenkomt als waar de app op draait.

Hoezo, zo lek als een mandje…

1 like

Bizar dat de echte digibeet anderen die mogelijk meer kennis hebben denkt de les te moeten lezen over hoe technologie toegepast moet worden. Ik vrees dat besturend nederland alleen maar denkt in termen van Controle/Beheersing en niet in termen van ten dienste staan van het algemeen belang.

Terwijl een bewindspersoon op moet komen voor de burgers van NL. En dat heeft niets te maken met het bestendigen en in stand houden dan wel creëren van een monopoly/duopoly voor een markt partij. Dat kunnen die marktpartijen ook proberen zonder hulp.
< Cynic mode> En dan er natuurlijk de tijd na een ambtstermijn, dan moeten de schaapjes ook op het droge blijven een commissariaat of management functie of zo…, en dan moet je wel de lobbyisten een beetje geholpen hebben… </cynic mode>

1 like

@anon97139585
Is jouw brief ook generiek te maken en in dit draadje te plaatsen als download?

Op dit forum maar ook op andere platformen zijn er voldoende mensen die in eenzelfde positie zijn of zich in die hoek gedrukt gaan voelen. Zij zouden wel graag een schrijven willen sturen, staan misschien nog afwachtend aan de zijlijn.

Eén particulier maakt waarschijnlijk geen verschil, maar als we binnen één week en masse eenzelfde bericht op basis van een voorbeeldbrief/template sturen dan zal dit zeker de benodigde aandacht trekken.

Dat zou los kunnen staan van een collectief statement van eerdergenoemde organisaties. Onze brieven kunnen hierop alvast een duidelijke signaalwerking hebben en zich verspreiden binnen diverse communities die het voorbeeld kunnen volgen of sturen uit solidatiteitsprincipe.

De term ‘verdacht’ lijkt me niet van toepassing. Wanneer een ieder zelf twee regels of meer wijdt aan een eigen inleiding, dan bevestigt de template-tekst alleen maar hoe verenigd we zijn in het doel dat we willen bereiken en dezelfde argumenten hiervoor aanvoeren.

Er blijkt ook een hoge mate van solidariteit uit, ook mogelijk te verantwoorden door links in de brief op te nemen naar dit topic en andere bronnen waaruit blijkt dat dit heel erg leeft.

Uiteindelijk denk ik dan maar, liever 1.000 dezelfde oproepen (van verschillende platformen, hier te downloaden) die een mate van urgentie vragen van een secretariaat en/of (individuele) leden van de commissie, dan één brief als een roepende in de woestijn.

Bovendien is de kans dat deze zaak de aandacht krijgt van andere platformen, politici en (sociale) media veel groter is wanneer er van verschillende kanten éénvoudig het belang en de argumentatie daarbij kan worden verspreid.

Beter zo alle belanghebbenden mobiliseren en het gevoel geven dat ze nu en samen en laagdrempelig een verschil kunnen met anderen en gelijkgestemden, dan over een tijdje in onzekerheid blijven, wetende dat ‘we’ de spreekwoordelijke boot hebben gemist; om tegen die tijd ieder navelstarend individueel af te vragen wat te doen met athenticatie voor bijvoorbeeld DigiD en/of machtiging en/of een Apple/Google/MS kanaal tegen je wil te gebruiken.

1 like

Het is een goede brief en verwacht dat, wanneer er in de 2e alinea al verwezen wordt naar mogelijke betere oplossingen, de brief nog beter gelezen wordt. Want op die manier heb je met een klein stukje lezen de kern van de brief al te pakken.

Bijvoorbeeld met de volgende tekst (voor de 2e alinea):

In deze brief wil ik u wijzen op de mogelijke alternatieven voor SMS-authenticatie die niet discrimerend zijn, zodat iedere nederlander gebruik kan blijven maken van de digitale overheidsdiensten.

@anon97139585
Net als @Subbink vind ik het een prima brief. Vind je het oké als we de brief iets meer naar onze hand zetten, uiteraard zonder afbreuk te doen aan jouw origineel?

Met behulp van een magnetron zèlf geregeld,
of “goed werk” van de producent ?!?

Als jouw RFID leeg is, dan wil ik daarvan wel een kopie op de mijne zetten
( zijn wij wèl ineens dezelfde persoon geworden … ) :crazy_face:

Absoluut niet leeg, voor de zekerheid net nog even gecontroleerd met een id check app. Alle gegevens inclusief foto zijn prima uit te lezen.
Duidelijk een bug in de didid app

Vandaag voor rijbewijs een foto laten maken bij een bij de RDW erkende fotograaf. Daar wordt ook je rijbewijs gecontroleerd en moet je een handtekening op een scanner zetten. De foto en handtekening word daar dan door de fotograaf naar de RDW gemaild.
Je krijgt daarna een mail van de RDW dat het ontvangen is en kan je beginnen met je rijbewijs te verlengen…
tenminste…
als die app werkt. Je kan namelijk bij de RDW uitsluitend met de digid app inloggen. En die werkt dus niet.

Dat wordt dus een afspraak maken op het gemeentehuis om daar op de oude manier je rijbewijs te gaan verlengen.
Dat gaat lekker worden als die digid app steeds meer verplicht gaat worden…