Op 18 februari van dit jaar nam de Tweede Kamer de Wet digitale overheid aan. In tegenstelling tot wat de naam van de wet suggereert, is dit niet de juridische weerslag van een brede visie op wat een digitale overheid in zijn totaliteit zou moeten zijn. In plaats daarvan legt het slechts vast waar de opvolger van DigiD aan moet voldoen. Nou zou je kunnen zeggen dat je toch ergens moet beginnen, zeker met een dossier waarop de overheid tot nu toe weinig daadkracht heeft getoond. Echter nu neemt de overheid stappen zonder een duidelijke visie op de toekomst. Zo wordt een belangrijke afslag gemist.
Read the rest of this entry »
Archives for posts with tag: identity-management
Suppose you want to go to the movies tonight. Or perhaps your favourite band is coming to town. To secure a ticket for the event, you decide to buy one online. You select the event details, make sure you selected the right date and time, choose the e-ticket option (provided the shop even offers alternative delivery options), and you are ready to proceed to checkout and pay.
But wait.
Somewhere along the ordering process you are required to sign in to your account at the online ticket shop. If you don’t have an account yet, you’ll have to create one, and you will probably be asked to provide your full name, home address, phone number and email address. In some cases you will have to provide more information, like your age, and perhaps your credit card number (for future purchases). Doesn’t that surprise you? No? Perhaps you are so used to it now, so conditioned to it, that you no longer really notice this identification step, let alone question it. Apparently you have bought into the myth that ‘they’ always need to know who you are. But do they, really?
Read the rest of this entry »De overheid is al jaren bezig met het invoeren van een nationaal elektronisch identiteitsstelsel (eID stelsel). Dit is belangrijk om een aantal redenen. Ten eerste wordt het steeds belangrijker om ook in de digitale wereld mensen betrouwbaar te kunnen identificeren. Ook is het niet fair dat in de fysieke wereld mensen moeten aantonen dat ze ouder zijn dan 18, terwijl de webshop dat niet hoeft te doen omdat ze dat niet kan doen. De vraag rijst dan of een paspoort of ID kaart ook voor digitaal gebruik geschikt gemaakt kan worden. Zo zou DigiD veiliger gemaakt kunnen worden. Tenslotte is de afhankelijkheid van DigiD een groot probleem: als DigiD uitvalt of gehackt wordt zijn alle digitale overheidsloketten waar burgers moeten inloggen onbereikbaar geworden.
Maar al die jaren is de overheid geen stap verder gekomen. Het laatste miljoenen project, Idensys, lijkt op sterven na dood. Na uittreden van een aanbieder zijn er nog maar drie aanbieders over, waarvan KPN tijdelijk geen middelen uitgeeft. Uit arren moede (zo lijkt het) is maar besloten om DigiD iets veiliger te maken door het uitbrengen van een DigiD app (ter vervanging van het steeds onveiligere SMS authenticatie). Alleen iDIN, het authenticatiemiddel van de banken, lijkt nog enig leven beschoren.
Maar een nationaal eID stelsel lijkt verder weg dan ooit. En dat terwijl de noodzaak alleen maar is toegenomen.
Naar mijn mening is Idensys mislukt omdat de overheid teveel aan de markt heeft willen overlaten. Voor succesvolle invoering van een nationaal eID-stelsel zal de overheid de regie moeten nemen. Maar dan rijst de vraag: welke keuzes heeft de Nederlandse overheid als het gaat om het invoeren van een nationale elektronische identiteit (eID)? Welke beslissingen moet de overheid nemen? En wat moet ze zelf doen, en wat moet ze aan anderen overlaten?
(Een wellicht makkelijker te lezen pdf versie van deze post is ook beschikbaar)
I was invited to speak at the Bitcoin in Education (BCINED) conference held in Groningen, September 5, 2017. Topic of my presentation: “Blockchain & Identity: Why you should avoid the blockchain like the plague“. While listening to the morning keynotes, praising the many benefits of using blockchains in education and for managing (academic) credentials in particular, I realised my message might provide a very much needed counterpoint. The short summary: using blokchain for identity management is ridiculous.
Read the rest of this entry »
Eergisteren nam ik deel aan een debat over het nieuwe Nederlandse eID stelsel (oftewel Idensys zoals het nu heet. Eerder schreef ik over de rampzalige gevolgen van de destijds nieuwe koers van het stelsel. Is er in de tussentijd iets veranderd?
Read the rest of this entry »
De Nederlandse overheid werkt al een aantal jaren aan een nieuw eID stelsel (een elektronische vorm van identificatie online) ter vervanginging van DigiD. Dat is ook wel nodig, want DigiD is kwetsbaar, wat tot grote schade kan leiden. Onder deze druk, en vanwege het feit dat marktpartijen de oorspronkelijke plannen voor het eID stelsel niet zagen zitten, heeft de overheid er onlangs voor gekozen een andere koers te varen. Het eID stelsel wordt een uitbreiding van eHerkenning (een systeem voor online identificatie voor bedrijven), en gaat Idensys heten. Dat is wat mij betreft niet alleen een stap terug (eHerkenning is gebaseerd op verouderde en relatief onveilige concepten), maar zelfs een stap in de verkeerde richting.
De oorspronkelijke plannen voor een eID stelsel
Attribute based credentials (ABCs) allow users to prove properties about themselves without disclosing any additional information, and without being traceable. ABCs therefore implement privacy friendly identity management. Within the IRMA project of the Privacy & Identity Lab we are busy making ABCs practical by implementing them on a smart card. This allows them to be used, for instance, in national electronic identity card schemes. We are currently studying how to implement some recent ideas on how to improve ABCs in terms of functionality, securty and privacy.