[Overheidsbeleid:] Authenticatie / DigiD; uitsluiting door toepassing Big Tech?

@Michael Is er nog progressie voor wat betreft de brief? Ondertussen is de mijne waarschijnlijk met PostNL onderweg naar Den Haag, en een aantal kennissen heeft gezegd dat ze hetzelfde zouden doen en een vergelijkbare brief aan de Vaste Commissie Digitale Zaken zouden sturen.

Heeft Freedom’s Public Affairs-afdeling wellicht nog suggesties voor organisaties met wie we verder contact kunnen zoeken? Ik ben ook wel bereid om wat telco’s te houden om dit te bespreken.

Ben ermee bezig.

Als de mensen van Freedom terug zijn van vakantie zal ernaar gekeken worden.

Mooi. Zodra ik iets kan doen, laat het dan maar weten. En mocht ik iets van een reactie krijgen op m’n persoonlijke brieven en mails, zal ik het ook melden. Al denk ik eigenlijk niet dat ik op teveel moet rekenen.

1 like

Naar aanleiding van een stuk in FTM.nl uit januari 2020, “je gezicht als paspoort” kwam ik bijgaande link/aktie nog tegen, staan ook nog enkele groeperingen in die mogelijk nuttig en destijds die aktie gesteund hebben.

1 like

MBT open source: “ICT markttoets Digipoort/digid”. Is advies van markt aan Logius.
Zie vraag 3: bruikbaarheid open source.

1 like

En deze aanbevelingen uit de Rapportage Onderzoek Toegang Digitale Overheid van 20 mei 2020 door PricewaterhouseCoopers Advisory neem ik ook nog even mee.

Uit het artikel van Sven:

Criteria voor garanties
Garanties die leveranciers af zouden moeten geven bij het gebruik van open source componen-
ten moeten gaan over:
• Koppelbaarheid;
• Onderhoudbaarheid;
• Voldoen aan open standaarden;
• Bewezen integratie met andere (deel)producten;
• Voldoende beschikbare deskundigheid en capaciteit;
• Performance;
• Enterprise ondersteuning.

Moeten die dan niet op closed source componenten?.. Want dit is speciaal vermeld voor gebruik van OS.

2 likes

Haha heb jij die “even meegenomen”, naar ik begrijp geen openbaar document en als het via WOB opgevraagd wordt, willen ze dat bij PWC meteen weten. :grinning:

Op blz 19 in tabel 2 punt 2 staat bijna letterlijk het issue wat Kevin hier aangekaart heeft.
blz 26 ook aantal nuttige bevindingen: oa beperkte technologische kennis binnen Logius en BZK die ivm nieuwe technische ontwikkelingen pilots doet met nieuwe authenticatie middelen.

Verder vooral conclusie dat er veel te veel partijen betrokken zijn, zwabberbeleid en deadlines niet gehaald worden.
Interessant om dit kijkje in de keuken te hebben.

2 likes

Ik kreeg de verzekering van Kevin dat FIDO al jaren oud is.
De oudste IETF RFC die ik zo snel kan vinden is 8812. van Maart 2018. - Standaard geworden in 2020.
Webauthn is door W3C in 2019 tot standaard verklaard.
De oudste meldingen op de FIDO-DEV newsgroup zijn van 2015. met referenties naar U2F.
In press-releases komt 2013 als jaartal naar voren.

Ik ben bang dat dit in ambtelijke ketens mogelijk te jong is. De gemiddelde ambtenaar heeft het in z’n eigen studie nog niet meegemaakt/gebruikt en mogelijk zijn de kids nog te jong om Pa/Ma uit te leggen dat ze hopeloos achterlopen zonder Yubikey/NitroKey etc.

En het staatje hier belooft ook niet veel goeds (Geen ETA op MacOS implementaties…), Geen Linux implemetaties genoemd…

Overheid en FIDO2:

Er zit wel veel Rood-Wit-Blauw tussen maar niet de goede:

Ze hebben wel de leeftijd om Fidonet te kennen, :stuck_out_tongue_winking_eye::joy: maar zijn waarschijnlijk nooit verder gekomen.

Dat is gewoon een raar staatje dan. Dat er geen Linux-implementaties worden genoemd, betekent niet dat het niet werkt. Ik kan uit ervaring vertellen dat het werkt, en dat al meer dan vijf jaar doet. (Nou ja, voorheen U2F dan, want FIDO2 is inderdaad wat nieuwer dan U2F, maar wel gerelatoorde technologie.)

Ik ken bijna geen mensen die Windows of macOS gebruiken, maar ik heb van allebei die groepen minstens wel één keer iemand zien inloggen bij Google of GitHub met een YubiKey, waaruit ik opmaak dat ook dat toch echt geïmplementeerd is en werkt.

Dat kan je van telefoonapplicaties dan ook wel zeggen. Toen die ambtenaren studeerden, waren er ongetwijfeld ook nog geen smartphones.

Verder zou ik verwachten dat Logius of een andere technische adviseur FIDO2 dan als optie opvoert omdat de ambtenaren aangeven dat er een fallback moet zijn voor mensen zonder Google/Apple-telefoon. Die ambtenaren hoeven niet specifiek FIDO2 te noemen lijkt me? Die moeten alleen maar aangeven dat er geen lock-in en gedwongen winkelnering mag bestaan.

Het is ook niet mijn bedoeling dat er alleen maar op FIDO2 moet worden ingezet. Andere opties kunnen er best naast bestaan, waaronder telefoonapplicaties, of wellicht nog iets heel anders. Ik noem FIDO2 alleen als optie om de groep mensen zonder Google-, Apple- en Microsoft-apparaten toch een volwaardige, open, gestandaardiseerde oplossing te bieden die relatief eenvoudig te implementeren is en mensen de vrijheid geeft om zelf te bepalen van welke vendor ze zo’n sleutel afnemen, waaronder de optie om zelfs voor 100% open hardware te gaan in de vorm van een Nitrokey FIDO2.

Maar de smartphones zijn dank zij WA etc. min of meer afgedwongen ik denk dat de gemiddelde ambtenaar ook leidt aan FOMO.
Ik kan me ook voorstellen dat er een hoger Apple gehalte heerst. (maar dat is gewoon op niets anders gebaseerd dan mijn inschatting en dat voor de overheid de prijs niet direct relevant is, zie ook Overheids ICT projecten).

Een FOMO voor FIDO2 dongles heerst er denk ik niet.

Ondertussen heb ik van een vriend die tevens bestuurslid van de SP Almere is vernomen dat die gemeentefractie de landelijke fractie over dit onderwerp heeft aangeschreven. Zij nemen hetzelfde standpunt in als “wij”, en en gaan proberen dat een SP-kamerlid hier een motie over in zal dienen.

Nu moest hij wel bekennen dat hij niet overtuigd was dat het ook zou gaan lukken, maar het is in ieder geval weer een mooie volgende stap, parallel aan het aanschrijven van de Commissie Digitale Zaken en maatschappelijk betrokken organisaties.

2 likes

De mensen die willen helpen om de betrokken partijen te bewegen om de geplande digitalisering van DigiD (vooral de wijze waarop) en de beschikbare authenticatiemethoden te heroverwegen heeft @Kevin al een mooie brief als template beschikbaar beschikbaar gemaakt. Een uitgebreider alternatief vind je hieronder:

Brief Commissie Digitale Zaken_alt versie.odt (51,3 KB)

Kun je je vinden in de inhoud? Dan kun je uit deze versies kiezen en is het slechts een kwestie van het aanpassen van de NAW-gegevens in het briefhoofd en je naam bij de ondertekening te zetten.

Een kleine moeite om jouw brief te versturen en/of digitaal te versturen.

Heb je andere interessante contacten die hieraan mee zouden willen werken of ontvangers binnen politiek of media die belang kunnen hebben bij deze kwestie? Dan kun je je brief natuurlijk doorsturen!

2 likes

Ik heb zojuist vernomen dat Bits of Freedom dit onvoldoende belangrijk vindt om in behandeling te nemen / zich in te lezen. Mogelijk als we “iets concreets hebben” dat ze dan willen aansluiten. Ik gok dat ze de mail dus niet eens echt gelezen hebben. Jammer.

Des te meer reden om er vanuit onze community meer brieven naartoe te sturen!

1 like

Een korte verwijzing naar de I-strategie Rijk 2021-2025 en het bijbehorende rapport.

Om op korte termijn naar uit te kijken (pag. 81 rapport):

Acties die lopen/zijn toegezegd in andere agenda’s en eventueel uitwerking of regie behoeven voor de rijksoverheid:

• In 2021 wordt de aangescherpte Wet Hergebruik Overheidsinformatie van kracht. Deze stelt nieuwe, hogere eisen aan het beschikbaar stellen van (realtime) overheidsdata voor hergebruik aan derden. Met de komst van de Europese Data Governance Act16 zullen deze eisen naar verwachting verder worden aangescherpt.

• In 2021 worden in de Wet Digitale Overheid (tranche II) nieuwe afspraken opgenomen over het delen van persoonsgegevens met derden (Regie op Gegevens). Vanaf 2022 start een uitvoeringsprogramma gericht op het delen van gegevens met en door burgers. Daarnaast start een ‘proeftuin’ waar private partijen met aan de slag gaan met het delen van gegevens.

• In 2021 verschijnt een onderzoek naar de mogelijkheid om data op een veilige manier in een gemeenschappelijke omgeving met andere overheidsorganisaties en/of maatschappelijke partners te kunnen delen. In het onderzoek worden aspecten als informatiebeveiliging, privacy, architectuur, generieke infrastructuur, toegang tot data(autorisaties), metadatering/catalogus en data-kwaliteit onderzocht.

1 like

Nou, het is beter dan niets:

5 likes

Bedankt voor het delen @Kevin

Een reactie op mijn brief heb ik nog niet ontvangen maar veronderstel dat dat een copy/paste zal zijn en zal dat tzt delen.

Het lijkt me wel de moeite waard als andere leden van onze community eenzelfde verzoek neerleggen om de urgentie ervan te benadrukken. Hiervoor kunnen zij gebruik maken van de templates van jouw brief en de alternatieve versie.

Zodra ik m’n bevesting heb zal ik 'm ook posten…