Dank voor jouw reactie!

Door Stukfruit:

Zoals de screenshot bij dit artikel aangeeft: "Gegevens worden niet bewaard".

Het is fundamenteel onmogelijk om te voorkómen dat iemand informatie, die deze persoon ziet of hoort, kan bewaren.

Met DRM-achtige toestanden kun je het lastiger maken dat apparaten ontvangen digitale informatie kunnen opslaan, maar onmogelijk maken kan, vziw, ook niet.

Bovendien zijn er scenario's waarbij het wettelijk verplicht is om persoonsgegevens te bewaren.

Door Stukfruit:

Het hele punt van zo'n systeem is, lijkt mij, dat je een betrouwbare tussenpartij hebt (in dit geval de EU en de trusted entities uit de documentatie) waaraan je kan vragen of iemand die gegevens X en Y menen te hebben klopt. De tussenpartij moet controleren. Niet de afnemer van de data.

Zoals ik het begrijp is er juist géén tussenpartij (zoals wel het geval is bij DigiD).

Je laadt digitaal ondertekende (door de overheid, maar het kan ook om bijv. een onderwijsinstelling gaan die op deze manier een digitaal diploma afgeeft) persoonsgegevens op jouw smartphone.

Die deel je vervolgens zelf en direct met partijen die om deze informatie "vragen" (of vereisen dat je die verstrekt). Daar zit dan geen derde partij meer "tussen".

De vraag is wat je aan die "keuzevrijheid" hebt. Zojuist heb ik de laatste beveiligingsupdate geïnstalleerd op de iPad van mijn vriendin. Ik kreeg de vraag of ik akkoord ging met de (gewijzigde?) Apple voorwaarden. Wat is dat voor een stomme vraag? Alsof ik een keuze heb. En alsof ik die lijst met voorwaarden elke keer ga diffen met de vorige om te zien wat er veranderd is - waarna ik alsnog geen keuze heb.

Door Stukfruit:

Hoeveel scammers hebben op dit moment toegang tot een systeem zoals DigiD, IRMA of iDeal?

Dat hangt van de definitie van "systeem" af. Feit is dat er slachtoffers vallen door fraude met DigiD en iDeal (van IRMA weet ik het niet, wellicht omdat het nog nauwelijks gebruikt wordt).

Door Stukfruit:

Daarmee bedoel ik niet de mogelijkheid om er gebruik van te maken, maar de mogelijkheid om het zelf te implementeren of een trusted entity te worden die zelf zulke elementen kan verplichten.

Voor slachtoffers maakt het weinig tot niets uit waar het precies fout ging, noch in hoeverre zij dit zelf hadden kunnen voorkómen (noch hoe realistisch dat is gezien de beperkingen van het menselijke brein).

Door Stukfruit:

Dat het misbruikt zal worden is een gegeven, maar mensen delen nu ook al zonder nadenken een kopie van hun identiteitskaart. Er is weinig wat dat gaat tegenhouden,

Je bedoelt "er zijn mensen die nu zonder nadenken ..." - ik heb de Visa creditcard, die ik al tientallen jaren had, opgezegd omdat ik (en niet alleen ik) een scan van mijn identiteitsbewijs met andere vervalsbare informatie moest opsturen naar ICS.

Waardoor ICS geld bespaart en niets te verliezen heeft (behalve een paar verstandige klanten) terwijl ik wél risico's loop. En dit hele spektakel van schijnveiligheid nauwelijks of niet helpt tegen het bestrijden van witwassen.

Door Stukfruit:

behalve de mogelijkheid om gegevens achteraf in te trekken.

Er is nu geen publiek toegankelijk register waarin je kunt checken of een identiteitsbewijs is ingetrokken. Ik lees nergens dat dit er wel gaat komen vóór de invoering van deze wallet.

Door Stukfruit:

Je linkt naar een eigen reactie zonder onderbouwing.

Je hebt gelijk, ik hoopte een discussie uit te lokken die laat zien dat iedereen een eigen uitleg geeft aan "privacy" (eerder deed ik dat, met meer succes, hier).

Mijn insteek is dat het recht op privacy veel verder gaat dan het vaakgenoemde "recht om met rust gelaten te worden". Gebrek aan privacy leidt ook tot geplunderde bankrekeningen, identiteitsfraude en verdenking (met mogelijk onterechte veroordeling - jurudisch en/of maatschappelijk) van crimineel handelen, waaronder het verspreiden van kinderporno.

Door jouw ultieme identiteitsbewijs te digitaliseren en met de hele wereld te delen blijft er weinig over van de (betrouwbaarheids-) waarde van dat identiteitsbewijs.

Door Stukfruit:

Heb je een bron waarin wordt gemeld dat de EU het gebruik hiervan wil afdwingen?

Integendeel, er blijft geroepen worden dat er "natuurlijk altijd een alternatief moet blijven bestaan".

Maar dat is bull shit, want het huidige alternatief "kopietje paspoort opsturen" is geen betrouwbare authenticatie op afstand - want dat kan helemaal niet betrouwbaar.

In deze post beschreef ik overigens een m.i. wél redelijk betrouwbare oplossing - minder prijzig dan bij een notaris, maar linksom of rechtsom kost betrouwbare authenticatie altijd geld, tijd en heb je er capabele controleurs voor nodig.

Gelukkig begrijpen beleidsmakers nog steeds dat online stemmen onmogelijk democratisch kan, deels om precies dezelfde redenen (je moet elke stemmer betrouwbaar authenticeren om te voorkómen dat deze méér dan 1x kan stemmen).

Door Stukfruit:

Onjuiste gegevens invullen doe ik trouwens ook vaak omdat ik eigenlijk net zo'n pessimist ben

M.i. ben je pas pessimist als je zou overschatten hoeveel en hoe vaak persoonsgegevens in verkeerde handen vallen.

Door Stukfruit:

Maar als mijn begrip van de reactie hieronder klopt dan zou het echt een zegen zijn. In dat geval zou het bijvoorbeeld voor een webshop niet eens nodig zijn om te weten waar je woont om toch je pakketje op te kunnen sturen.

De praktijk is dat webshops je het hemd van het lijf vragen terwijl dat nu ook al niet mag van de AVG.

Door Stukfruit:

Uit het artikel waar je naar linkt:

Uit dat artikel:

Hoe voorkom je dat dienstenaanbieders onnodig veel informatie willen hebben vanuit de Wallet?

Daarop zegt Jaap-Henk Hoepman:

“Als iemand in de trein je kaartje controleert of je staande houdt, wil je ook weten of hij wel echt een conducteur of een politieman is. Het zou een mooie aanvulling zijn op het voorstel wanneer zo’n mogelijk wordt ingebouwd in de Wallet.”

Dat probleem beschreef ik hier (Nb. die link gaf ik eerder hierboven onder "dat kan helemaal niet betrouwbaar"). En er gaat geen oplossing voor komen zolang bijvoorbeeld PGO's DV-certs blijven gebruiken.

Maar dat is in de situatie dat je met een fraudeur te maken hebt. De vraag is óók hoe je voorkómt dat legitieme partijen overvragen, zoals nu ook gebeurt - waarbij je nu nog kunt liege en straks niet meer.

Jaap-Henk Hoepman (en Bart Jacobs) denken dit probleem met IRMA te kunnen tackelen maar -helaas (technisch is het een mooi initiatief)- geloof ik daar helemaal niets van.

Precies zoals je eerder schreef "mensen delen nu ook al zonder nadenken een kopie van hun identiteitskaart" zullen velen op "akkoord" drukken als een webshop zegt dat het noodzakelijk is dat jouw hele doopceel gelicht moet worden.

Door Stukfruit:

Zoals te zien is in de screenshot bij dit artikel: het doel is om een abstracte presentatie van de informatie te delen. Een voorbeeld hiervan is de kroegbaas of drankverkoper die alleen maar hoeft te weten of je boven de 18 bent.

Abstract? Jouw pasfoto overal slingerend op internet? Jij denkt dat aantrekkelijke (?) vrouwen m/v niet gestalkt gaan worden door horeca-medewerkers die zeggen dat je jouw contactgevens moet afstaan om binnen te mogen komen?

Door Stukfruit:

Is het terugdringen van over-identificatie daarmee niet juist één van de belangrijkste features van deze wallet?

Nee. Veel te veel websites gaan straks eisen dat jij prijsgeeft wie jij exact bent.

Geen gedoe meer met pseudonieme e-mailadressen waaruit de naam van de eigenaar niet eenduidig te achterhalen valt.

Straks moet je, online, een kopie van jouw paspoort verstrekken als je een nieuwsartikel wilt lezen (nu.nl dringt er nu al steeds meer op aan dat je een account aanmaakt - nu nog pseudoniem).

Dit is een droomscenario voor gerichte marketeers en identiteitsfraudeurs. En voor veiligheidsdiensten (alhoewel zij er op termijn best spijt van zouden kunnen krijgen, want ook hun medewerkers zijn niet anoniem meer en de gevolgen voor de maatschappij, die zij trachten te beschermen, konden netto wel eens flink nadelig zijn).

Edits 17:53: enkele typo's gecorrigeerd

Aanvulling 17:57: zie ook deze post met antwoorden op kamervragen door staatssecretaris van Huffelen.

[Reactie gewijzigd door ErikvanStraten op 15 februari 2023 17:57]