7337 Onderzoek en informatie

User Tools

Site Tools

Trace: Maatschappij Digid
controle_macht_privacy_digid

This is an old revision of the document!

Table of Contents

Digid

Alle testen zijn gedaan op een Android telefoon.

Alternatief

De overheid heeft bepaad dat organisaties een alternatief voor Digid moeten aanbieden.
Dat alternatief is vaak kostbaarder, tijdrovender, meer gedoe. Het is er ondanks de belofte pas na flink, aanhoudend, doorvragen of is het er zelfs in het geheel niet.

Door Digid feitelijk verplicht te stellen, ontneemt de overheid de burger zijn eigen verantwoordelijkheid en daarmee een deel van de burger zijn vrijheid.

Voorwaarden

Om Digid legaal te mogen gebruiken en / of te kunnen gebruiken moet je accoord gaan met:

  • het feit dat de overheid volgt waar je wanneer inlogt via Digid.
  • het extra gedoe ten opzichte van een gebruikersnaam en een wachtwoord.
    • communicatie met de Digid helpdesk die vaak niet tot een zinvolle oplossing leidt.
  • de hoge kosten voor de belastingbetaler vergeleken met een gebruikersnaam en wachtwoord. Dit zijn kosten voor de organisatie, Logius, achter Digid.
  • de aanschaf en kosten van een geschikte smartphone (met NFC).
    • Inmiddels is SMS controle weer mogelijk op een gewone mobiele telefoon of een vaste telefoonlijn. Het is niet duidelijk hoe lang dat blijft.
  • de Privacyverklaring Digid
  • de voorwaarden van derde partijen.

Kosten

Om Digid te kunnen gebruiken moet soms een smartphone met NFC worden aangeschaft. De kosten hiervoor, een telefoon met Android, bedragen minimaal € 149,-1). Een Apple telefoon kost minimaal € 556,-2).

NFC is niet altijd nodig maar als het niet op de telefoon zit en het is nodig dan moet er opnieuw een telefoon worden aangeschaft wat tot extra kosten en werk leidt.

Voor instanties

Tarieven Digid

Privacy

Om de smartphone te kunnen gebruiken moet er akkoord gegaan worden met de voorwaarden van Digid, Android en Google3). Als je niet accoord gaat kun je de smartphone, Digid, niet legaal gebruiken.

App ontwikkeling

Digid schrijft: “Onderdelen van de DigiD app van derde partijen zijn opgenomen vanwege ondersteunings- en beheerfunctionaliteit vanuit onze app-ontwikkeling.”

Dat lijken overbodige zaken die allen in de app horen te zitten tijdens het ontwikkelprocess maar die voor de gebruiker geen toegevoegde waarde hebben. Erger, een privacy en veiligheids risico voor de gebruiker kunnen zijn.

Verbinding met Google

Voor de technische ondersteuning van de push-notificatiefunctionaliteit op het Google-platform maakt Digid gebruik van Google Firebase.

Digid stelt: “Hierbij worden geen persoonsgegevens naar Google verstuurd.”

Door de authoritiet persoonsgegevens is vastgesteld dat een IP adres een persoonsgeven is. Dus een burger die de Digid app gebruikt zijn IP adres is een persoonsgegeven wat naar Google wordt gestuurd voor de pushnotificaties.

Een vast IP adres bepaald dat de gebruiker op zijn thuislokatie is.
Een mobiel IP adres laat zien waar de gebruiker ongeveer is.
Daarbij wordt ook de datum en tijd vastgelegd.
Dit melden aan Goolge waar de burger die de Digid app gebruikt (ongeveer) was op een bepaald moment gebeurt met een hoge frequentie. Google kan dus de gangen van de burger nagaan op basis van de Digid app.
Mogelijk worden er nog andere gegevens gewisseld met Google. In iedergeval de inhoud van de pushnotificatie.

Google leeft van het verzamelen van alle data waar ze de hand op kunnen leggen. Dus ook die van de burger die de Digid app gebruikt. Daar doet het privacystatement van Digid, de AVG noch het onleesbare privacy statement van Google zelf niets aan af. Data, persoongegevens, zijn geld waard. Het is dus de vraag of de burger wel vertrouwen in moet hebben dat zijn data bij Google veilig is, zijn privacy daar gewaardborgd is.

Het is maar de vraag of de push-notificatiefunctionaliteit wel nodig is voor het gebruik van de Digid app.

Privacy statement

Gezien bovenstaande is het niet verstandig om met het privacy statement van Digid accoord te gaan. Bij niet accoord gaan is het verstandig om dat te melden, schriftelijk, per e-mail, bij Digid.

Survailance

  • De overheid weet wie, wanneer, waar inlogt.
  • De app maakt contact met Google. via *.1e100.net adressen. Waarschijnlijk om na te gaan of er nog pushnotificaties zijn.

Smartphone concequenties

De Rekenkamer heeft gewaarschuwd voor het verdwijnen van de sms-controle, waardoor DigiD alleen nog is te gebruiken via de DigiD-app.
Dat houdt in dat Nederlandse burgers zich verplicht een smartphone (met NFC) moeten kopen en zich bij de Amerikaanse techreuzen Apple of Google moeten registreren ook al zijn ze het niet eens met de voorwaarden van die bedrijven.

Wachtwoord

Waarom een heel kostbaar systeem optuigen als met een goed wachtwoord, wat afgedwongen kan worden, hetzelfde bereikt kan worden? Dit kan eventueel aangevuld worden met twee factor authenticatie.

Eenmanszaken

Om bij de belastingdienst in te kunnen loggen als een manszaak is Digid verplicht. Het alternatief eHerkenning kost veel geld en levert gedoe op en is dus geen optie.

Gebruik

  1. De app is nogal eens erg traag.
  2. Bij het opstarten komt er een onnodig scherm met onnodige tekst die ook nog eens desinformatie weergeeft. Meteen naar het pincode scherm is gebruikersvriendelijker.
  3. Na het ingeven van de pincode komt de vraag: “Need verification code?” Ja, wat anders, er zijn geen andere mogelijkheden.
  4. Inloggen via Digid kan nogals eens problematisch zijn of in het geheel niet werken.
    1. De oorzaak kan liggen in de getoonde QR code. Die is slecht gecomprimeerd en daardoor niet scherp. Bij inzomen is dat goed te zien. Naast de zware blokken zitten ook grijze blokken die er bij een goede compressie of geen compressie niet zijn.
    2. De QR code is geen plaatje maar een gegenereerd object wat niet gedownload kan kan worden. Mogelijk zit daar het probleem van het vaak niet herkennen van de QR code door een smartphone.
    3. De achtergrond kleur van het scherm kan ook een rol spelen. Een witte achtergrond heeft de voorkeur.
  5. Als je ingelogd bent, wat je op de website ziet, krijg je op de app het overbodige scherm: “You are logged in.” wat je ook weer weg moet klikken. Daana kom je op het “Need verification code scherm” van punt 3. Waarom niet meteen naar punt 3?
  6. Het lijkt niet mogelijk te zijn om via Digid in te loggen tijdens een telefoongesprek op het zelfde apparaat. Of dat aan Digid ligt of iets van Android is is niet duidelijk.
    1. Digid maakt geen connectie meer nadat het telefoongesprek is afgesloten en er wordt ingelogd met de Digid app.
    2. Na het ingeven dan de pin code lijkt de app naar het volgende scherm te gaan maar komt toch weer terug op het pincode scherm met de 5 * nog steeds ingevuld.
      1. Zelfs nadat de app via Settings > Apps en berichten is gestopt werkt de app niet meer. Mogelijk moet de telefoon herstart worden om de Digid app weer te kunnen gebruiken.
      2. Overschakelen van mobiel interent (uitgezet) naar Wifi (aangezet) zorgde er voor dat de app weer werkte.
  7. Om de QR code te kunnen tonen moet het beveiligingsnivo van een goed beveiligde webbrowser worden verlaagd. Zo niet dan kan de QR code niet gescand worden. Er kan dan
    verschijnen. De QR code is dus niet een plaatje maar wordt op een moeilijkere manier aangeboden.

Issues

  • Het scannen van een ID-bewijs via NFC kan zeer problematisch zijn. Het kan veel tijd kosten voordat het uiteindelijk toch lukt.
  • Er is geen versienummer van de app te vinden onder “Help and information” > “About the Digid app”. Het zit onder “Help and information” > “Support”.
  • Versie 6.9.2 (5101)
    • “Helaas moet u opnieuw inloggen” “Er was langer dan 15 minuten geen activiteit in het scherm.” Echter dat is niet zo. Dit kun je al krijgen na een minuut of zo. Als je dan in het scherm zit met de “Login” en “Cancel” knoppen hangt de app. De app moet dan via Settings > apps uitgeschakeld worden of er moet nog wat langer gewacht worden. Dan komt “You have been logged out” terwijl er niet ingelogd was.
    • Na even wachten op het loginscherm en dan op “Login” tikken is er ingelogd. Echter de telefoon geeft een nieuw scherm met de Verificatie code.
    • De QR code laat zich niet scannen door een QR code scan app.
    • Het is mogelijk om in te loggen zonder de Verificatie code in te hoeven voeren.
    • “was op 29 september 2023 om 17:10 uur (Nederlandse tijd).” “(Nederlandse tijd)” moet “(UTC)” zijn.
  • Het privacy statement is niet doorzoekbaar.
  • De logbestanden zijn doorzoekbaar. Als dat geen oplossing is vereist het veel muiskliks om de hele lijst door te nemen als dat nodig is.
    • Het logbestand kan niet gedownload worden.
  • Het ticketsysteem sloopt de opmaak van de email waardoor het ticketsysteem geen referentienummer kan vinden en dus, bij een reactie, een nieuw referentienummer uitgeeft. Daardoor weet de helpdesk niet wat er speelt en blijven ze dezelfde vraag herhalen.
    • Het is dus altijd zaak om te controleren of er een nieuw ticketnummer is toegewezen en indien zo bij een reactie ook naar dat nummer te verwijzen. Dus een lijst met relevante ticketnummers in de e-mail op te nemen.
  • Inloggen op https://mijn.digid.nl kan zonder twee factor authenticatie, alleen met gebruikersnaam en wachtwoord.
1) , 2)
juni 2023
3)
Wat een heel werk is om die te lezen, te doorgronden en te begrijpen
controle_macht_privacy_digid.1742417541.txt.gz · Last modified: by webmaster