Privacy-issues vooruitgeschoven bij ontwikkeling opvolger DigiD

De privacy-issues die zich voordoen bij de ontwikkeling van de opvolger van DigiD worden door de ontwikkelaars en minister Plasterk (PvdA) voor zich uitgeschoven. Dat bleek tijdens een voorlichtingsbijeenkomst op woensdag 5 oktober. Het vooruitschuiven van privacy-aspecten is tegen het verplichte principe van privacy-by-design. Dat zou ervoor moeten zorgen dat privacy-aspecten vanaf het begin onderdeel worden van het concept. Eind september wezen ook de Tweede Kamer en de Autoriteit Persoonsgegevens op het gebrek aan aandacht voor de privacy-aspecten.

Er lopen verschillende pilots met opvolgers voor het huidige DigiD. De privacy is daarbij tot nu toe vooral op papier geregeld, maar ook dan is nog veel onduidelijk. Dat concludeert TNO in een evaluatie van de pilots. Zo is het nog onbekend welke persoonsgegevens worden opgeslagen en gedeeld mogen worden bij het inloggen. Deze gegevens worden in principe beheerd door een authenticatiedienst, die controleert of een gebruiker echt is wie hij zegt dat hij is, maar wie er bepaalt welke gegevens geregistreerd en gedeeld mogen worden is nog nergens vastgelegd. Uit sommige stukken valt voorzichtig op te maken dat de burger alleen ja of nee mag zeggen tegen het delen van gegevens, maar niet zelf kan bepalen welke gegevens er gedeeld worden.

Profielen

Daarnaast schrijft TNO dat de authenticatiedienst mogelijk zelf gegevens over een burger zou mogen toevoegen. Welke dat zijn of waarvoor die gebruikt mogen worden is onduidelijk. Het ligt voor de hand dat de authenticatiediensten uiteindelijk erg veel over de burger te weten komen, namelijk wanneer en bij welke diensten allemaal wordt ingelogd. Dit zou bijvoorbeeld gebruikt kunnen worden voor het maken van profielen van burgers die verkocht kunnen worden of gevorderd kunnen worden door overheidsdiensten. De authenticatie bij het inloggen bij de overheid gebeurt zoals het er nu naar uitziet door een private onderneming. Het zou wenselijk zijn als de overheid zelf ook een authenticatiedienst aanbiedt.

Het gevaar dreigt dat het in de toekomst misschien wel onmogelijk zou kunnen worden om nog anoniem het internet op te gaan als je je overal via eID moet identificeren. Bijvoorbeeld bij een webshop, een forum of bij social media. Voor nu lijkt het er op dat dit voor de meeste bedrijven te duur wordt, maar het zou natuurlijk kunnen dat het voor de Facebook’s en Google’s van deze wereld wel interessant en betaalbaar is.

Biometrie

Dan is er nog het verhaal rond biometrie. Om je te kunnen aanmelden voor een authenticatiedienst moet de foto op het identiteitsbewijs vergeleken worden met het echte uiterlijk van de persoon. Als dat digitaal gaat gebeuren, dan zal dat moeten via twee selfies of een video die de authenticatiedienst moet opslaan.

Tot slot zijn bewaartermijnen van de meeste gegevens nog onbekend. Sowieso wil men dat bepaalde inloggegevens zeven jaar worden bewaard voor het opsporen van mogelijke fraude.

Uit de evaluatie van TNO blijkt dat de technische implementatie achterblijft, maar het is onduidelijk hoever men precies is. TNO heeft geen openheid gekregen op technisch gebied bij het evalueren van de pilots.

Tweede Kamer ontevreden

De Autoriteit Persoonsgegevens toonde zich eind september ontevreden over de privacy-aspecten bij het nieuwe eID-stelsel. De toezichthouder schreef hierover een waarschuwende brief aan minister Plasterk. Ook de Tweede Kamer is nog niet tevreden over de voortgang op het gebied van de privacy. Dat bleek tijdens het algemeen overleg van 29 september jongstleden. De Tweede Kamer heeft van de minister geëist dat er voor de Kerst een conceptwetsvoorstel is en dat de privacyvoorwaarden waaraan de verschillende partijen moeten voldoen, bekend moeten zijn, anders wil een Kamermeerderheid van PvdA en VVD de pilots in januari waarschijnlijk stilleggen.

eID-stelsel vereenvoudigd

Het eID-stelsel is flink vereenvoudigd. Er komen twee smaken. Voor publieke zaken, zal voorlopig alleen met een eID-middel van de overheid toegang gekregen kunnen worden. Daarvoor komen in eerste instantie drie middelen: DigiD, de Nationale IdentiteitsKaart en het eRijbewijs.

DigiD zal dus toch blijven, maar krijgt wel een extra beveiligingslaag die nu wordt getest met een chip in het rijbewijs. Ook de andere twee systemen zullen met een chip gaan werken die door de EU ontwikkeld wordt en er in oktober 2018 moet zijn.

De grote afwezige hier is het paspoort, deze is door de vele internationale afspraken niet aan te vullen met een chip. Hierdoor zou iemand zonder rijbewijs dus zowel een paspoort als een identiteitskaart moeten aanschaffen als diegene wil inloggen maar ook buiten Europa wil reizen.

Private initiatieven

Naast het overheidssysteem zijn er nog twee private initiatieven binnen het eID stelsel, te weten Idensys/eHerkenning en iDIN.

Idensys/eHerkenning
Idensys/eHerkenning is een publiek/private samenwerking. Het systeem kent twee delen. Het publieke Idensys deel is toegankelijk voor overheidsinstanties en anderen die wettelijk het BSN mogen gebruiken. Denk hierbij aan zorgverzekeraars, BKR en de belastingdienst.

Het private deel heet eHerkenning en wordt al gebruikt door ondernemers om zich te authenticeren bij de overheid en andere bedrijven. Het private gebruik krijgt geen toegang tot het BSN.

iDIN
iDIN wordt ontwikkeld door de banken en maakt gebruik van het huidige iDeal stelsel. Je kan je authenticeren met een chip die in alle bankpassen komt. In de pilot is dit systeem getest voor onder andere het inloggen bij de belastingdienst. Daarbij konden mensen thuis de bestaande kaartlezers of Tan-codes gebruiken.

Privacygaten in ontwerp DigiD-opvolger

Het ontwerp voor de opvolger van DigiD vertoont flinke gaten als het om bescherming van de privacy gaat. Dat blijkt uit de beschikbare documentatie en uit een bijeenkomst van deskundigen, die vrijdag 10 oktober in Amsterdam plaatsvond.
Lees verder >>>

reacties

Er zijn nog geen reacties gegeven.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Help mee het medisch beroepsgeheim te beschermen

Sonja: Mijn lijf is van mij, en daarmee ook mijn dossier....
Geranna: Zoals de waard is vertrouwt hij zijn gasten. Wie controleert de zorgverzekeraars? Het zou mij niet verbazen dat de fraude die daar plaatsvindt een veelvoud is....

Slimme meter weigeren

WZ: Weet iemand of je uit voorzorg zelf een nieuw type analoge meter kan laten plaatsen zodat deze nog tientallen jaren door een keuring kan komen ? Heeft iemand uberhaubt een lijst met nieuwe analoge ferraris meters? Ik wil namelijk absoluut GEEN digitale (slim of niet) meters aangezien ik als ICTer weet hoe slecht die zooi beveiligd worden (Heeft uw slimme meter iedere maand/kwartaal een nieuwe security update? Dacht het niet! ) Ook het gevaar van een omgevallen bitje (bitrot) dat zo maar ineens een 1 voor je meter zet....
Ik ben slim dus weiger liever.: Hoi, ik heb al veel meegmaakt ook de intimidatie en zelfs fraude aan de kant van de netbeheerder....
Hans: @Richard Je kan aan de buitenkant het verschil meestal niet zien....
richard.: weet iemand hoe de traditionele digitale meter eruit ziet....
Gertjan: Mijn vader van 72 is vanavond ook lastig gevallen door een mannetje van Liander, 's avonds om 20....
Marco: Ik weiger pertinent een slimme meter. Als zo'n meter op hol slaat kun je nooit bewijzen wat jouw werkelijke verbruik is....

Ziekenhuis wordt DNA-databank voor justitie

Bardman: Weet je meteen waarom ze zo graag je de donorcodicil in de maag willen splitsen

Vragen over kentenscannen door belastingdienst

Caroline: Dit is een duidelijk geval van function creep en is daarmee precies wat al eerder voorspeld is door privacy minded organisaties en mensen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.056 seconden