Nederlandse crisis voor digitale identiteit
Nederlands digitaal identiteitsverificatiesysteem DigiD heeft aangekondigd SMS uit te gaan faseren als tweede factor. Daarmee verplichten ze burgers om een smartphone app te installeren om de digitale diensten van de overheid, gemeenten, zorgsector en anderen te kunnen gebruiken. Deze applicatie werkt alleen op iOS en Android telefoons, met afhankelijkheid van externe diensten.
Meerdere leden van onze gemeenschap kiezen ervoor om geen apparaat te gebruiken dat is gekoppeld aan leveranciers-specifieke diensten. Er is de dreiging dat onze gemeenschap in praktische zin wordt buitengesloten van de digitale infrastructuur die de overheid heeft opgezet voor ons om te gebruiken. Officiële alternatieven zijn een vriend te vragen met de app om te helpen of om terug te vallen of papieren post en fysieke besprekingen. Dit is een urgente zaak met een grote impact, dus als je mijn zorgen deelt, laat je horen bij de beleidsmakers. De commissie Digitale Zaken zal op 22 maart samenkomen om de Digitale Overheid te bespreken waaronder het onderwerp van identiteitssystemen. Ik heb de commissieleden aangeschreven om aandacht te vragen voor deze situatie en heb daarbij de beelden uit onze gemeenschap gedeeld. |
In de zomer van 2021 ontving ik een brief van mijn gemeente dat het tijd was om mijn rijbewijs te vernieuwen. De brief beschreef twee manieren om een vernieuwing aan te vragen: ofwel fysiek het gemeentehuis bezoeken of gebruik maken van het experimentele digitale proces dat sinds 2018 bestaat. Meer informatie over dit digitale proces kan gevonden worden op de bijbehorende webpagina.
Rijbewijs beslisboom zoals weergegeven in de brief.
De eerste keer dat ik hoorde van dit experiment was een paar jaar geleden bij mijn lokale fotograaf, die een van de eerste fotografen was die deelnam aan deze proef. Gecertificeerde fotografen functioneren als het voornaamste punt van contact in het proces door een goede foto te verzorgen en de aanvrager te identificeren. Mijn lokale fotograaf was enthousiast dat hij deel kon nemen in het experiment om zo het proces voor klanten makkelijker te maken. Ik was ook enthousiast omdat het leek dat dit een goed doordacht proces was dat het aantal contactmomenten en bezoekjes naar instanties zou beperken voor een rijbewijsvernieuwing.
Nu een paar jaar later, was het tijd voor mijn verlenging en stond ik op het punt te ervaren hoe ver onze digitale overheidsdiensten gekomen waren. Ik starte het proces door naar rijbewijsaanvragen.rdw.nl te gaan, en daar werd ik direct verwezen naar een DigiD inlogpagina. DigiD is de login-oplossing die de Nederlandse overheid ontwikkelt en gebruikt. Meer informatie is beschikbaar op
Meer informatie is beschikbaar op Wikipedia en op de officiële website. Jaren geleden gebruikte DigiD slechts een gebruikersnaam en wachtwoord voor verificatie, een enkele factor. Toen werd SMS-authenticatie toegevoegd als een mogelijke tweede factor voor verbeterde veiligheid. Later werd een specifieke app ontwikkeld om je smartphone te gebruiken als een tweede factor, vertrouwend op veiligheidsmogelijkheden van het besturingssysteem. Meer recent is de mogelijkheid voor de zogenaamde check-id toegevoegd voor apps om de NFC-chip van identiteitskaarten uit te lezen als de basis van authenticatie. Meer informatie over de identiteitskaart-loginmethode is beschikbaar op de website.
Bij het starten van het digitale verzoek toonde het DigiD scherm dit keer niet de optie voor SMS-authenticatie die ik normaal gebruik. Ik kon kiezen tussen de DigiD app en de optie om de NFC-chip van de identiteitskaart te lezen. Ik was met stomheid geslagen en nam aan dat ik misschien een fout had gemaakt. Zorgvuldig mijn stappen nalopend probeerde ik het opnieuw maar kreeg ik wederom hetzelfde scherm.
DigiD scherm
Na wat onderzoek werd mij duidelijk dat SMS niet veilig genoeg werd geacht voor deze toepassing, en dus was dit project opgezet om tenminste een geinstalleerde DigiD app als tweede factor te eisen, of het uitlezen van de NFC-chip van je identiteitskaart.
Ik wilde eigenlijk niet de DigiD Android app installeren, ondanks dat ik een Nokia 8.1 smartphone heb met Google One Android erop. Mijn vorige telefoon was een Fairphone 2 met Fairphone Open OS, de Google-vrije Android versie van Fairphone. Door de Google-vrije Android ervaring ben ik bewust geworden hoeveel apps afhankelijk zijn van Google bibliotheken en diensten om te functioneren. Het had me best wat experimenteertijd gekost om mijn appgebruik te verplaatsen naar apps die niet van Google diensten afhankelijk waren. Omdat ik een andere Google-vrije Android telefoon overwoog als mijn volgende telefoon, wilde ik mij niet committeren aan een app die Google nodig had om te kunnen functioneren, wat de DigiD app wel doet. Ook keek ik uit naar een Linux telefoon zoals de Pinephone met Mobian, die me zelfs verder weg van het Android app ecosysteem zou bewegen.
Ik keek op de DigiD website voor suggesties voor deze situaties. De officiële aanbeveling is om iemand anders met den DigiD app te vragen voor hulp. Ik kon niet geloven wat ik las. Mijn overheid was nu de sterkste kracht die me naar het leveranciers-specifieke smartphone ecosysteem trok waar ik mij aan stoorde. Ik had al gelezen dat SMS uitgefaseerd zou gaan worden (Artikel van Tweakers.net) en over hoe de overheid de Google en Apple duopoly stimuleert (Artikel, Archive.is), maar ermee te worden geconfronteerd in het echt maakt het zoveel meer werkelijk en urgent. Al in 2018 toen ik een Fairphone gebruikte heb ik DigiD gemaild of de Digid app ook buiten de Google Play store verstrekt kon worden, maar daarop kreeg ik het antwoord dat dat niet mogelijk was.
In schril contrast staat de situatie in Duitsland. AusweisApp2 is de Duitse identificatie-app, die beschikbaar is in F-Droid, Debian en vele andere Free Software repositories. Dit is allemaal mogelijk gemaakt doordat de broncode onder een Vrije Software licentie (EUPL v1.2) gepubliceerd is. Dit stelt de gemeenschap in staat om de applicatie beschikbaar te maken op veel verschillende platformen. The AusweisApp2 gebruikt de chip in de identiteitskaart of paspoort als de basis voor identiteit. Daardoor hoeft de app slechts de communicatie met online diensten te faciliteren. In vergelijking met apps als DigiD die direct fungeren als een digitale identiteit, reduceert het slechts door hoeven geven van informatie de veiligheidseisen. Zonder de afhankelijkheid van leveranciersspecifieke cryptografiebibliotheken is het makkelijk om de code te openen voor transparantie en samenwerking, zoals de Duitsers hebben gedaan. |
Ik besloot dat ik bij mijn principe zou blijven om de app niet te installeren en dat ik zou zien hoe ver ik zou kunnen komen. In het slechtste geval zou ik terug moeten vallen op het fysieke proces dat ik de laatste keer had gebruikt om mijn rijbewijs aan te vragen. Dus nam ik contact op met het RDW-team dat verantwoordelijk is voor het digitale proces dat nogsteeds een experiment werd genoemd, ondanks dat het al een paar jaar in gebruik was. Ik legde mijn situatie uit en vermelde dat ik niemand om hulp wilde vragen omdat ik niet afhankelijk wilde zijn van anderen voor het gebruik van digitale diensten, en ik vroeg om alternatieven. Ik kreeg een formeel antwoord dat herhaalde wat ik online al had gelezen: het was niet mogelijk zonder de app.
Ondertussen was er ook een desktopapplicatie beschikbaar om de NFC-chip van een identiteitskaart uit te lezen. Deze is alleen beschikbaar via de Windows 10 app store. Omdat al mijn computer Debian of Ubuntu draaien was dat voor mij geen optie. Nog los van het feit dat ik geen identiteitskaart had met een NFC-chip erin om daadwerkelijk mee te identificeren. Dus tenzij de overheid besluit de applicatie uit te brengen voor andere besturingssystemen zie ik dit ook niet als een optie voor mij.
DigiD scherm voor NFC-kaarten
Bij gebrek aan een oplossing die ik zelfstandig kan gebruiken zonder te vertrouwen op Google-diensten, viel ik terug op het traditionele fysieke proces. Ik ging naar mijn lokale fotograaf om mijn foto te laten nemen, dezelfde die mij een paar jaar eerder vertelde over het digitale proces. Hij vroeg mij of ik gebruik wilde maken van het digitale proces nadat ik vermelde dat de foto bedoeld was voor het vernieuwen van mijn rijbewijs. Ik antwoordde dat ik daar geen gebruik van wilde maken omdat ik de app niet wilde installeren. En dus kreeg ik mijn foto’s in analoog formaat, anders dan dat ze digitaal naar de juiste instantie verzonden zouden worden. Later ging ik naar het stadhuis om mijn pasfoto te overhandigen en de papieren te ondertekenen voor de aanvraag. Een paar dagen later ging ik terug naar het stadhuis om mijn nieuwe rijbewijs op te halen, en dat was dat.
In vergelijking met het digitale proces kostte het me slechts één extra gang naar het stadhuis en wat meer papierwerk. Voor een enkel geval was het niet zo slecht en acceptabel. Maar met de aangekondigde uitfasering van SMS in 2022 wordt de impact veel groter. De meeste online publieke diensten vereisen op dit moment een tweede factor voor authenticatie, en meer en meer diensten worden digitaal. Belastingopgave is een van de diensten die die nog steeds authenticatie zonder een tweede factor toestaat, maar voor hoe lang? Gebruik maken van publieke diensten zonder de DigiD app wordt aanzienlijk moeilijker, en dat is waarom we een oplossing nodig hebben die ‘leveranciersonafhankelijk’ en ‘open’ principes waar de overheid zelf voor pleit.
De Nederlandse DigiD app acteert als een bron van identiteit en vertrouwt op de frameworks van Apple en Android om een vertrouwde identiteit te garanderen. Om ooit een Vrije Software app in Nederland te bereiken zouden we niet moeten vertrouwen op de dichtgezette besturingssystemen en bibliotheken van leveranciers om veiligheidsgaranties te bieden. Net als in Duitsland kan het baseren op een identificatiechip in hardware het vertrouwen bieden dat een overheid nodig heeft zonder een afhankelijk te introduceren. Een andere oplossing kan de IRMA app zijn die deels is gebaseerd op online connectiviteit voor de veiligheid. IRMA heeft een actieve gemeenschap in Nederland bestaande uit publieke diensten zoals gemeenten en verschillende bedrijven die een veilig en toegankelijk authenticatiemiddel nodig hebben. Ongeacht de technische oplossing waar we bij uitkomen is het belangrijk dat het leveranciersonafhankelijk, Vrije Software, gebaseerd op open standaarden, en open is voor bijdragen uit de gemeenschap voor bijvoorbeeld besturingssysteem ondersteuning. In 2020 heeft Waag in samenwerking met vele organisaties al gestreefd naar deze waarden in de #goedID campagne. |
Het baart me zorgen dat onze overheid tot dusver geen begrip lijkt te tonen voor onze positie. De informatie op de website lijkt te impliceren dat als je geen Google Android of Apple smartphone hebt, je een gebrek aan digitale vaardigheden hebt en behoort tot dezelfde categorie als de ouderen. Onze gemeenschap is meestal het tegenovergestelde. Juist omdat we zo vaardig en bewust zijn vermijden we commerciële afhankelijkheid waar we kunnen. We moeten ons laten horen en de overheid laten weten dat we beter verwachten van onze overheid. In de laatste jaren heeft onze gemeenschap de wil laten zien om samen te werken. Bijvoorbeeld door bij te dragen aan open source applicaties zoals de Covid tracing en QR-code apps en door ze beschikbaar te maken op F-Droid. Dus laten we die insteek van samenwerking vasthouden en de overheid aanspreken op de crisis die ze heeft gecreëerd en laten we een oplossing eisen die tegemoet komt aan onze waarden.