Iets waar ik onlangs pas tegenaan liep, maar wel behoorlijk akelig vind als het werkelijkheid wordt, is het volgende: Overheid gaat inloggen via DigiD met sms-controle op termijn uitfaseren - Security.NL
Nu klinkt dit op zichzelf misschien wat oninteressant, maar het heeft in de huidige vorm wel degelijk grote gevolgen voor een behoorlijke groep mensen. Een groep waartoe ik ook behoor; namelijk de mensen die niet akkoord gaan met de privacyverklaringen en licentieovereenkomsten van Google, Apple, Microsoft et al. Ik bezit dus geen smartphone met Android of iOS, en zou dan “op termijn” dus buitengesloten gaan worden van een essentiële overheidsdienst.
Dit is niet omdat ik “technisch niet vaardig ben”, zoals de staatssecretaris de groep “mensen zonder Google/Apple-smartphone” doet voorkomen. Juist omdat ik vrij veel kennis heb van besturingssystemen, embedded firmware en netwerken, heb ik een hele bewuste keuze gemaakt om geen Apple- of Google-telefoon te bezitten.
De overheid, bij machte van Logius, gaat op deze manier mensen effectief dwingen om zaken te doen met één of twee Amerikaanse private bedrijven. Ze moeten hun apparaten aanschaffen, en die apparaten - waarvan de broncode niet inzichtelijk is - vertrouwen met hun meest persoonlijke gegevens. En voordat ze die apparaten überhaupt mogen gebruiken, moeten ze akkoord gaan met een tientallen pagina’s tellende licentieovereenkomst en nog langere privacy policy. Om de niet-vrije / gesloten applicaties van de overheid te kunnen installeren, hebben deze mensen ook nog eens een account bij de “stores” van deze bedrijven nodig, waarvoor ze ook weer akkoord moeten gaan met tientallen pagina’s aan juridische overeenkomsten. Alleen maar om straks nog te kunnen inloggen op websites van de Nederlandse overheid.
En dat terwijl het nota bene de overheid zelf is die zegt dat wij als Nederland te afhankelijk zijn van Amerikaanse technologiebedrijven. Waarom wordt er dan gepusht om iets zo essentieel als DigiD volledig in handen van Apple en Google achter te laten? Bovendien hebben we al jaren een open standaardenbeleid in Nederland, dat teruggaat tot de motie-Vendrik uit 2002. Maar keer op keer voert de overheid weer niet uit wat ze beweren te willen nastreven.
Ik heb tientallen redenen om geen zaken met buitenlandse techbedrijven te willen doen, maar los daarvan is het voor mij als libertariër ook onverkropbaar dat je als burger niet zelf de keuze mag hebben met welke bedrijven je in zee wilt gaan, maar dat de overheid dit voor je gaat bepalen. Ik wil uitsluitend gebruik maken van software waarvan de broncode beschikbaar is; die ik zelf kan auditen, compileren en installeren. Ik wil zelf bepalen welke bedrijven ik geld wil geven. Ik wil niet dat een overheid me gaat vertellen welke producten ik moet kopen, welke licentieovereenkomsten ik moet accepteren of welke apparaten ik in mijn huis moet vertrouwen.
De huidige situatie, met SMS-authenticatie als 2FA, is wellicht niet 100% waterdicht, maar het is wel platformonafhankelijk. Iedereen kan, ongeacht wat voor telefoon diegene bezit, SMS-berichten ontvangen. Ook mijn Nokia 3310 kan dat, evenals mijn PinePhone met Debian. Zelfs mensen met alleen een vaste telefoonlijn kunnen SMS-berichten ontvangen, in gesproken vorm. Het is misschien geen perfecte implementatie, en andere vormen van tweefactorauthenticatie mogen er best naast bestaan, maar SMS is niet-discriminerend. Het legt verder geen gedwongen winkelnering op.
Dat is iets dat “apps” altijd wel doen. Want hoeveel “apps” van de overheid werken er nu op andere platformen dan die van Google of Apple? Van hoeveel is er broncode beschikbaar zodat ze door een derde partij geport kunnen worden? Je wordt altijd weer gedwongen om met één van die twee bedrijven in zee te gaan, of je mag niet meedoen. Effectief kunnen we stellen dat private Amerikaanse bedrijven met hun licentieovereenkomsten en privacy policies bepalen welke burgers in Nederland bepaalde rechten hebben. Alleen zij die een contract met ze willen aangaan, mogen meedoen.
Uit eigen ervaring weet ik wat de gevolgen kunnen zijn. Toen ik 18 was, wilde ik studeren. Maar geen enkele universiteit liet me toe, omdat ik geen contract met Microsoft wilde aangaan. Ik heb nooit een computer met Windows gehad, en wil daar ook absoluut geen verandering in brengen. Ik ga niet akkoord met Microsoft’s gebruikersovereenkomsten en privacyvoorwaarden, en dan gaat Microsoft niet akkoord met mij als gebruiker. Zodoende gebruik ik hun software dan ook niet. Dat is een recht dat ik als Nederlands staatsburger toch zou moeten hebben; geen zaken doen met een bepaalde Amerikaanse firma? Zo raar is dat toch niet, zou je zeggen?
Uiteindelijk heb ik mezelf maar opgeleid en het onderwijssysteem op mijn 18e de rug toegekeerd. Ik ben dan op dat gebied nog wel goed terechtgekomen, maar het is toch van de zotte dat zoiets mogelijk is binnen een systeem dat vrijwel volledig door belastinggeld wordt gefinancierd? Nu met DigiD zie ik precies hetzelfde weer gebeuren als toen in het onderwijs aan de hand was (en nog steeds wel zal zijn).
Zodra die SMS-authenticatie verdwijnt, wordt er weer op kosten van de belastingbetaler een technologisch discriminerend systeem in stand gehouden, en worden Amerikaanse techbedrijven weer de “gatekeepers” die bepalen welke burgers toegang hebben tot digitale dienstverlening. Dat een staatsecretaris die groep dan afdoet als onwetenden, is schrijnend. Aan de ene kant beweert de overheid voorstander te zijn van open standaarden, van platformonafhankelijkheid, en dat de macht van “big tech” te groot is, maar aan de andere kant zijn ze zelf voor een groot deel schuldig aan de huidige situatie. Verder is er voor dit specfieke probleem al lang een hele geschikte oplossing voor handen: FIDO2. Op de website van Logius of DigiD is daar echter niets over te vinden.
Logius zou FIDO2 heel makkelijk voor DigiD kunnen implementeren, en die oplossing zou stukken veiliger zijn dan zowel de SMS-authenticatie als de proprietary “DigiD-app”. Een andere optie zou zijn om een random reader te verstrekken die verder geen netwerkstack heeft, zoals bijvoorbeeld ING ook is gaan doen bij het uitfaseren van TAN-codes. Dat zou ook uitkomst kunnen bieden voor het scannen van identiteitskaarten in de toekomst, bijvoorbeeld. Maar ook daar wordt allemaal met geen woord over gerept. Het scannen van die identiteitskaarten zou wel vanaf een computer kunnen, maar hiervoor worden dan weer uitsluitend computers met besturingssystemen van Microsoft en Apple ondersteund. Dan zit je in precies dezelfde situatie als met telefoonapplicaties, alleen dan zijn het niet Google of Apple maar Microsoft of Apple waarmee je verplicht een verbintenis moet aangaan, en verplicht moet vertrouwen met je meest persoonlijke gegevens.
Nee, mensen zonder Android- of Apple-telefoon en zonder Windows- of Apple-computer zijn zo digibeet, die moeten iemand anders maar machtigen om hun zaken te regelen. Maar goed, zelfs als ik dat al zou willen, is er in mijn hele familie- en vriendenkring ook niemand met zo’n telefoon of computer; nog los van het feit dat ik helemaal niet wil dat iemand anders mijn overheidszaken gaat regelen. Dan moet ik iemand anders met zijn of haar onveilige, niet door mij beheerde telefoon of computer toegang gaan geven tot mijn meest persoonlijke data. En dit hele voorstel had DigiD “veiliger” moeten maken, zeggen ze dan. Maar de overheid en Logius lijken volledig te ontkennen dat mensen die niet met “big tech” in zee willen gaan überhaupt bestaan.
Ik heb hierover onlangs een mail aan mijn favoriete Kamerlid gestuurd, en ik hoop dat meer mensen volgen. Ik denk dat er binnen onze gemeenschap wel meer mensen zijn die er vergelijkbaar over denken.