[Overheidsbeleid:] Authenticatie / DigiD; uitsluiting door toepassing Big Tech?

Ik kreeg de verzekering van Kevin dat FIDO al jaren oud is.
De oudste IETF RFC die ik zo snel kan vinden is 8812. van Maart 2018. - Standaard geworden in 2020.
Webauthn is door W3C in 2019 tot standaard verklaard.
De oudste meldingen op de FIDO-DEV newsgroup zijn van 2015. met referenties naar U2F.
In press-releases komt 2013 als jaartal naar voren.

Ik ben bang dat dit in ambtelijke ketens mogelijk te jong is. De gemiddelde ambtenaar heeft het in z’n eigen studie nog niet meegemaakt/gebruikt en mogelijk zijn de kids nog te jong om Pa/Ma uit te leggen dat ze hopeloos achterlopen zonder Yubikey/NitroKey etc.

En het staatje hier belooft ook niet veel goeds (Geen ETA op MacOS implementaties…), Geen Linux implemetaties genoemd…

Overheid en FIDO2:

Er zit wel veel Rood-Wit-Blauw tussen maar niet de goede:

Ze hebben wel de leeftijd om Fidonet te kennen, :stuck_out_tongue_winking_eye::joy: maar zijn waarschijnlijk nooit verder gekomen.

Maar de smartphones zijn dank zij WA etc. min of meer afgedwongen ik denk dat de gemiddelde ambtenaar ook leidt aan FOMO.
Ik kan me ook voorstellen dat er een hoger Apple gehalte heerst. (maar dat is gewoon op niets anders gebaseerd dan mijn inschatting en dat voor de overheid de prijs niet direct relevant is, zie ook Overheids ICT projecten).

Een FOMO voor FIDO2 dongles heerst er denk ik niet.

De mensen die willen helpen om de betrokken partijen te bewegen om de geplande digitalisering van DigiD (vooral de wijze waarop) en de beschikbare authenticatiemethoden te heroverwegen heeft @anon97139585 al een mooie brief als template beschikbaar beschikbaar gemaakt. Een uitgebreider alternatief vind je hieronder:

Brief Commissie Digitale Zaken_alt versie.odt (51,3 KB)

Kun je je vinden in de inhoud? Dan kun je uit deze versies kiezen en is het slechts een kwestie van het aanpassen van de NAW-gegevens in het briefhoofd en je naam bij de ondertekening te zetten.

Een kleine moeite om jouw brief te versturen en/of digitaal te versturen.

Heb je andere interessante contacten die hieraan mee zouden willen werken of ontvangers binnen politiek of media die belang kunnen hebben bij deze kwestie? Dan kun je je brief natuurlijk doorsturen!

2 likes

Des te meer reden om er vanuit onze community meer brieven naartoe te sturen!

1 like

Een korte verwijzing naar de I-strategie Rijk 2021-2025 en het bijbehorende rapport.

Om op korte termijn naar uit te kijken (pag. 81 rapport):

Acties die lopen/zijn toegezegd in andere agenda’s en eventueel uitwerking of regie behoeven voor de rijksoverheid:

• In 2021 wordt de aangescherpte Wet Hergebruik Overheidsinformatie van kracht. Deze stelt nieuwe, hogere eisen aan het beschikbaar stellen van (realtime) overheidsdata voor hergebruik aan derden. Met de komst van de Europese Data Governance Act16 zullen deze eisen naar verwachting verder worden aangescherpt.

• In 2021 worden in de Wet Digitale Overheid (tranche II) nieuwe afspraken opgenomen over het delen van persoonsgegevens met derden (Regie op Gegevens). Vanaf 2022 start een uitvoeringsprogramma gericht op het delen van gegevens met en door burgers. Daarnaast start een ‘proeftuin’ waar private partijen met aan de slag gaan met het delen van gegevens.

• In 2021 verschijnt een onderzoek naar de mogelijkheid om data op een veilige manier in een gemeenschappelijke omgeving met andere overheidsorganisaties en/of maatschappelijke partners te kunnen delen. In het onderzoek worden aspecten als informatiebeveiliging, privacy, architectuur, generieke infrastructuur, toegang tot data(autorisaties), metadatering/catalogus en data-kwaliteit onderzocht.

1 like

Bedankt voor het delen @anon97139585

Een reactie op mijn brief heb ik nog niet ontvangen maar veronderstel dat dat een copy/paste zal zijn en zal dat tzt delen.

Het lijkt me wel de moeite waard als andere leden van onze community eenzelfde verzoek neerleggen om de urgentie ervan te benadrukken. Hiervoor kunnen zij gebruik maken van de templates van jouw brief en de alternatieve versie.

Zodra ik m’n bevesting heb zal ik 'm ook posten…

Nog steeds geen bevestigingsbrief ontvangen. Behalve Kevin, zijn er nog anderen die hem wel hebben?

Dan ga ik de brief nog maar een keer sturen want ik wil dat dit onderwerp de publieke aandacht krijgt dat het verdient en dat de Vast Kamercommissie ook weet dat er alert over hun schouders wordt meegekeken.

Afgelopen zaterdag kwam die binnen:

Sorry voor de scheve scan.
Ik heb de indruk dat de inhoudelijke tekst iets anders is.

1 like

Nieuwe ontwikkeling: nieuwe brief van de 2e Kamer:
Scan-0020-zwart.pdf (277,0 KB)

Volgende horde?

3 likes

Dit is goed nieuws! Dank je wel voor het delen van de brief.

Had je trouwens een eigen brief opgesteld of een van de templates gebruikt (en zo ja welke)?

Zelf overigens nog niet een bevestiging gehad dus vandaag gaat 'ie nogmaals op de bus

Ik had de brief van Kevin als leidraad gebruikt, maar wat stelliger en minder vrijblijvend gemaakt.
Ik heb explicieter om antwoorden gevraagd.

1 like

Mijn eerste brief heb ik nog steeds geen reactie op ontvangen. Vandaag wel in de rebound een bevestigingsbrief dat hij is doorgestuurd naar de leden van de vaste commissie voor Digitale Zaken. Over deze versie wordt hopelijk snel een besluit genomen.

De vervolgmail ontvangen van de griffier van de vaste commissie Digitale Zaken

Tweede Kamer - Commissie DiZa

"Uw bovengenoemde brief is na ontvangst verspreid onder de leden van de vaste commissie voor Digitale Zaken.

De Commissie heeft besloten dat de leden uw brief desgewenst kunnen betrekken bij de verdere behandeling van het wetsvoorstel … etc."

Onze brieven worden dus meegenomen in de behandeling. Hopelijk kan dit anderen stimuleren om alsnog een van de templates gebruiken en op dezelfde manier in te brengen om invloed uit te oefenen.

De brief kunnen we ook nog versturen/doorsturen naar andere partijen die druk kunnen uitoefenen op dit proces.

Iemand nog andere suggesties of in het netwerk contactpersonen die van doorslaggevend belang kunnen zijn?

2 likes

Logius heeft/had in ieder geval geen plannen voor een publieke API of andere manier waarop dit kan worden gefaciliteerd. Ik heb november 2020 de vraag gesteld en pas januari 2021 antwoord gekregen. (een compleet non-antwoord waarbij men de vraag inhoudelijk probeerde te vermijden)

Weliswaar zakelijk en nog pre-wetgeving, maar misschien toch een (heel klein) lichtpuntje als het gaat om het niet kunnen verplichten van aanvullende diensten/producten als gevolg van het ontbreken van een wettelijke basis.

Lees verder

image

Rechter: geen wettelijke basis voor verplichte aanschaf eHerkenning

dinsdag 15 februari 2022
Bron: Security.nl

Er is geen wettelijke basis voor de verplichte aanschaf van het inlogmiddel eHerkenning, dat onder andere moet worden gebruikt voor het doen van belastingaangifte, zo heeft de belastingrechter geoordeeld. Een bedrijf dat weigerde eHerkenning aan te schaffen en zodoende geen aangifte kon doen hoeft een naheffing van de Belastingdienst niet te betalen.

Via eHerkenning kunnen ondernemers bij alle aangesloten organisaties inloggen en zaken als belastingen, subsidies, voertuigoverschrijvingen en wijzigingen in het Handelsregister regelen. Bestaande zakelijke inlogmiddelen worden op termijn afgeschaft, zodat alleen eHerkenning overblijft. Bedrijven moeten vanaf 1 januari 2020 eHerkenning verplicht gebruiken om aangifte bij de Belastingdienst te doen.

Een bedrijf uit het Gooi wilde belastingaangifte doen, maar weigerde hiervoor eHerkenning bij een commerciële partij aan te schaffen. Volgens het bedrijf kan de fiscus haar niet verplichten om voor eHerkenning te betalen. De onderneming vindt dat de Wet digitale overheid eerst in werking moet treden en dat een ministeriële regeling niet voldoende is.

De Wet digitale overheid heeft als doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse burgers en bedrijven bij de (semi-)overheid. De wet moet echter nog worden aangenomen en zou op zijn vroegst 1 juli van dit jaar in werking kunnen treden. De daadwerkelijke datum van de inwerkingtreding is afhankelijk van wanneer de Kamer het wetsvoorstel bespreekt.

De Belastingdienst is van mening dat eHerkenning niets meer is dan een elektronische handtekening en het op grond van de wet de bevoegdheid heeft nadere eisen te stellen aan het gebruik van elektronische berichten. Daarnaast kan er compensatie voor de aanschaf van eHerkenning worden aangevraagd. Iets waar eind vorig jaar weinig gebruik van was gemaakt.

De rechtbank stelt dat de Algemene wet bestuursrecht een wettelijke basis kan bieden, mits de verplichte aanschaf van eHerkenning voor het doen van een aangifte in de wet staat. Deze wet ontbreekt echter. Volgens de rechter moet belastingaangifte kosteloos zijn. Voor de betalingsverplichting bij eHerkenning bestaat dan ook geen wettelijke basis. Daaruit concludeert de rechter dat de ministeriële regeling uit de Algemene wet inzake rijksbelastingen geen rechtsgrond biedt. Dat een deel van de kosten worden vergoed maakt dit niet anders.

Op basis hiervoor komt de belastingrechter tot het oordeel dat het bedrijf uit het Gooi wel belastingaangifte wilde doen, maar dit niet kon zonder eHerkenning. “Dit klemt omdat voor het verplicht stellen van het gebruik tegen betaling van eHerkenning iedere rechtsgrond ontbreekt”, aldus de rechter. Die voegt toe dat de Belastingdienst dan ook geen naheffingsaanslag kan opleggen. De rechter heeft de naheffingsaanslag van de fiscus vernietigd.