Volgens mij vraagt een ziektekostenverzekering nooit om inloggegevens...
Ik heb het nare idee dat dit een scam is...

Ik weet het overigens niet 100% zeker, maar vertrouwen doe ik het niet...

Als je er nou bij gezet had welke ziektekosten verzekering dat is, kun je een stuk zinvollere reacties krijgen.

Heb je al bedacht om de helpdesk van de verzekering te bellen ?
(zelf het nummer van de papieren brief halen, niet een nummer van de inlog site nemen, voor de zekerheid)

Er zijn wel meer niet overheidssites waar je met digi-id kunt inloggen.

https://www.digid.nl/nieuws/artikel/artikel/eerste-zorgverzekeraars-sluiten-aan-op-digid/

Welke Ziektekostenverzekering ?

@ Ler0y JenKins,

Diverse verzekeraars bieden naast schriftelijke en telefonische contactmogelijkheden ook online beheer van gegevens in een zogeheten "beschermde omgeving", waartoe ingelogd moet worden in het eigen account.
Daartoe kan een account met zelfgekozen gebruikersnaam en password worden aangemaakt en gebruikt, maar verschillende verzekeraars bieden tevens een inlogmogelijkheid via DigiD.

Dit betreft dus niet per se scam/ phishing,
maar het is uiteraard wel goed om alert te zijn, en alleen in te loggen daar waar je het vertrouwt, en niet zomaar een link in een mailtje te volgen, zeker wanneer dat geen mailtje is dat je verwachtte van je verzekeraar (zoals ter bevestiging van een zonet uitgevoerde actie).


@ Anoniem, topicstarter,

Het verbaasde ook mij dat zorgverzekeraars gebruikmaken van DigiD (N.B. géén "digi id").
Ik ontdekte het fenomeen onlangs, bij het helpen van iemand anders met zorgverzekerings-dingen.

Wikipedia vermeldt:
http://nl.wikipedia.org/wiki/DigiD#DigiD_en_niet-overheid
"Met de komst van het burgerservicenummer (dat per 26 november 2007 het sofi-nummer verving) kunnen in theorie ook andere (semi)overheidsorganisaties aansluiten op DigiD. Bijvoorbeeld zorgverzekeraars, onderwijsinstellingen en zorginstellingen."

En op de DigiD-site wordt het volgende vermeld:
https://www.digid.nl/over-digid/wie-doen-mee/
"De onderstaande organisaties bieden diensten aan met DigiD. Dit zijn overheden en organisaties die een overheidstaak uitvoeren en daarbij het burgerservicenummer in hun administratie mogen gebruiken. Bijvoorbeeld een ziekenhuis of een zorgverzekeraar."
Daaronder, onder Zorgverzekeraars, kun je zien dat inmiddels 14 zorgverzekeraars met DigiD werken - Agis, De Friesland, Kiemer, Pro Life, Takecarenow!, ONVZ, Stad Holland, DSW, Salland, Zilveren Kruis Achmea, CZ, OHRA, Delta Lloyd en VGZ.
Eerder, in 2008, werd dit al medegedeeld:
https://www.digid.nl/nieuws/artikel/artikel/eerste-zorgverzekeraars-sluiten-aan-op-digid/
"In oktober 2008 zijn de eerste zorgverzekeraars aangesloten op DigiD."
"Zo is het mogelijk om online wijzigingen op het gebied van persoonsgegevens en/of de zorgverzekering door te geven
[...] declaraties via internet indienen
[...] verzekeringsgegevens te raadplegen en de verwerking van declaraties te volgen
[...] gegevens te wijzigen en de verzekering aan te passen."

Ik had geen idee dat DigiD daarvoor gebruikt wordt.
Dat zorgverzekeraars DigiD gebruiken als identificatie- en authenticatie-systeem voor online toegang tot en beheer van verzekeringsgegevens, dat verbaast me.
Het zit 'm blijkbaar in dat "overheden en organisaties die een overheidstaak uitvoeren"?

Los daarvan,
ik vermoed dat je ook een account met zelfgekozen gebruikersnaam en password zult kunnen aanmaken en gebruiken, in plaats van DigiD, en heb je geen 'Online only' variant van je verzekering gekozen dan zul je ook nog telefonisch en schriftelijk aanpassingen betreffende je verzekering kunnen doorgeven.


[wijzigingen: aangevuld met extra informatie, en enkele formuleringen verbeterd en typos gecorrigeerd]

En zo breidt het vehikel zich langzaam steeds verder uit van de "beperkte, heus waar" initieele rol. Waarmee de originele discussie dus langzaam buitenspel gezet wordt.

Het EPD vraagt ook om een DigID.
http://www.vzvz.nl/page/Home/Zorgverlener/Toestemming-patient/Online-toestemming-geven

Echter de site doet het nog steeds niet.
http://www.ikgeeftoestemming.nl/

Zie hier bijvoorbeeld: https://applicaties.anderzorg.nl/SecurityService.Pres/Weblogin.aspx

Waar heb je het over?

Ik zit zelf bij een grote zorgverzekeraar en die biedt al een jaar of 4 de mogelijkheid om ook via Digi ID in te loggen.

Maar of je de digiDee wel of niet gebruikt bij het inloggen, achter de schermen wordt die koppeling met je BSN standaard gemaakt.

In het ziekenhuis is de koppeling daardoor makkelijk gemaakt bij het onderling factureren. Immers je digi ID is gekoppeld aan je BSN.

Een internet zorgverzekering die nooit om inloggegevens vraagt?
Lijkt me sterk, denk je ook niet?

Ik heb hetzelfde!

@ topicstarter van donderdag 27-12, 17:51 uur,

Is het je door de bovenstaande reacties hopelijk wat duidelijker geworden?
En biedt je verzekeraar naast inloggen met DigiD tevens ook de mogelijkheid om zelf een account aan te maken en daarmee je gegevens te beheren, zonder toegang via DigiD?
Heb je ermee kunnen en durven inloggen?

topicstarter
Er is me veel duidelijk geworden. Waarvoor dank :-)
inloggen op een normale manier met zelf aangemaakt wachtwoord gaat niet, raar bij centraal beheer kon dat wel.

http://www.salland.nl/Consumenten/Inloggen-Mijn-Salland.htm

Maar ik blijf verbaast over hoe dit zomaar weer mag en kan. De epd zal ook wel gaan werken met DigiD. Dus handig als het acceptatie beleid wordt veranderd, wat stapsgewijs zeker zal gebeuren.
Zolang ze alles betalen en dat is veel want ik heb nog maar een paar maanden te gaan ga ik niet inloggen.
Meer uit principe dan dat het voor mij nog wat uitmaakt.

@ Anoniem 17:23, topicstarter,

Ah, Salland verzekeringen.
Ik wist dat die een'"Mijn Salland" heeft, maar niet dat je alleen kan inloggen met DigiD. Wat heel irritant, zeg!
ONVZ is een voorbeeld van een verzekeraar die je de keuze laat, inloggen in "MijnONVZ" door middel van DigiD, óf door middel van een zelf aangemaakt "MijnONVZ"-account.
Nog een ander voorbeeld is FBTO, waar het inloggen in "MijnFBTO" enkel via een zelf aangemaakt account gaat, en niet via DigiD.
Wat Salland betreft, er lijkt me geen enkele noodzaak om in te moeten loggen, volgens mij is alles te regelen via telefoon, mail en/of anderszins schriftelijk.

(En geheel off-topic: Zelf ben ik inmiddels blij overgestapt naar FBTO. Het is de enige zorgverzekeraar die dekking voor 'alternatieve behandelwijzen' niet via koppelverkoop meeverkoopt met de wat uitgebreidere aanvullende verzekeringen, maar alleen als geheel onafhankelijke module aanbiedt. Heel prettig voor wie per se géén dekking voor kwakzalverij in de zorgverzekering wil en wel de optie wil hebben om eventueel uitgebreide aanvullende modules te kunnen kiezen. Bij andere verzekeraars zit je met de uitgebreidere aanvullende verzekeringen gelijk met tevens een kwakdekking.)

Dus... Als ik het goed begrepen heb...

-DigiD is brak. Daar is de laatste jaren voldoende over te doen geweest.
-Je kunt er mee inloggen en bij je medische gegevens komen.
-Het EPD (of hoe het vandaag ook heten mag) is absoluut veilig.
-Ik snap er geen zak meer van.

Als ik het goed begrepen heb moet je absoluut geen DigiD gebruiken.
De banken waarschuwen je al om je pincode absoluut prive te houden.
Dat heeft dus geen zin bij de DigiD.
Als mij belastingadviseur om mij DigiD vraagt betekend dat ook meteen dat hij bij mijn zorgverzekering, mijn EPD, mijn gemeente gegevens, enz, enz, kan komen. Weg privacy dus.
Iemand schrijft zelfs dat DigiD gekoppeld is met het BSN.
Met andere woorden als je een BSN hebt heb je ook al een DigiD zonder dat je het weet.
Er zijn dan ook instanties, bijv. zorgverzekeringen die de beschikking hebben over je BSN dus ook over je DigiD, zonder dat jij het weet.
Aan gezien je BSN nummer opstraat ligt, want je hebt ongetwijfelt wel eens een copie van je rijbewijs, of paspoort laten maken, ben je voor iedereen een open boek!!!!!!!!!!!!!!!!!
Leve de naive overheid.(Diginotar, Rijksvoorlichtingsdienst 3x)

Off topic:
Als je bedoelt in het potentieel aankomende 'nieuwe EPD',
dat weet ik niet, wordt het de bedoeling daarin te kunnen inloggen door middel van DigiD?
Doel je op de bijdrage van Anoniem, vr.28-12, 13:27 uur?
Die beweerde "Het EPD vraagt ook om een DigID", maar de site waarnaar verwezen wordt biedt DigiD als mogelijkheid om toestemming te geven voor het meedoen aan het 'nieuwe EPD'. Het zegt niks over toegang tot dat EPD via DigiD.

On topic:
Als je bedoelt bij een deel van de zorgverzekeraars,
je kunt met DigiD niet zomaar bij al je medische gegevens, maar bij je verzekeringsgegevens en mogelijk bij ingediende declaraties.
Dat laatste is echter al griezelig genoeg voor wie de implementatie van DigiD niet vertrouwt, of voor wie zo zot is om zijn/haar DigiD-inloggegevens te delen met de belastingconsulent.


Maar je moet dan ook nooit je DigiD-inloggegevens delen met je belastingconsulent.
Al betrof het alleen de mogelijkheid om door middel van DigiD uit jouw naam zaken te regelen met overheden, dan was het al uiterst griezelig wanneer je je DigiD-inloggegevens uit handen geeft. Dat moge toch volkomen duidelijk zijn voor iedereen met ook maar een greintje verstand?

Wat een nonsens!
Je zult toch werkelijk een DigiD-account moeten aanmaken voordat toegang door middel van DigiD bestaat.
En enkel een BSN geeft geen kennis over de DigiD-inloggegevens, dus met enkel je BSN kan niet willekeurig wie bij al je gegevens. Alleen wie hoe dan ook toch al toegang tot bepaalde gegevens heeft kan met je BSN bij je bijbehorende gegevens, denk aan de gemeente, maar die kan dan niet bij al je andere gegevens, alleen bij die in het eigen systeem.

Nog even een late reactie hierop:
Nee, die site biedt DigiD als mogelijkheid om toestemming te geven voor het meedoen aan het 'nieuwe EPD'.
Het zegt niks over toegang tot het 'nieuwe EPD' via DigiD.

DigiD is weinig meer dan bijvoorbeeld Microsoft Passport (of hoe dat vandaag heet) of een
van de vele andere pogingen om een centrale userid/password service te bieden voor meerdere
sites.

DigiD slaat zelf niks anders op dan je usernaam/password/telefoonnummer(optioneel)/BSN.
Je wilt inloggen bij je verzekeraar, die redirecten je naar een DigiD site, daar log je in met
je usernaam/password, er wordt mogelijk een valdatie via SMS gedaan (optioneel) en dan
gaat er tenslotte een bericht terug naar de verzekeraar website met je BSN.

De website weet dan dat jij de persoon bent met dat BSN en gebruikt die BSN vervolgens
als key in hun database om jouw gegevens erbij te zoeken. Net zoals Hotmail je mailjes
opzoekt als je met Microsoft Passport hebt ingelogd, en bij andere diensten waar dat zo
werkt.

Je moet natuurlijk nooit je usernaam/password van DigiD aan iemand anders geven nee, ook
niet aan een belastingconsulent. Maar dat geldt voor iedere usernaam/password, dat heeft
met DigiD verder niet zo veel te maken.

Op zich wordt het risico natuurlijk wel groter als er 1 login gebruikt wordt voor meerdere
diensten, maar aan de andere kant kun je ook zeggen dat het dwingen van de gebruiker
om bij iedere dienst een nieuwe usernaam/password te bedenken het risico OOK groter
maakt omdat dit het gebruik van standaard wachtwoorden in de hand werkt. Daar komt nog
bij dat de verzekeraar dan een procedure moet doorlopen om zeker te zijn dat ze met de
correcte persoon te maken hebben, iets wat DigiD al voor ze regelt.

En bij DigiD heb je dan in ieder geval nog het voordeel dat de website jouw wachtwoord
helemaal niet te weten komt, dus kunnen ze het ook niet op amateuristische wijze in een
database zetten ofzo (waar een hacker het dan later weer uitvist en publiceert, waardoor
je in de problemen komt als je het wachtwoord ook op andere plaatsen gebruikt).

De DigiD blijft privé als je bij een zorgverzekering inlogt. Je stuurt de code namelijk niet naar de zorgverzekering, maar naar de originele DigiD site en die geeft alleen door aan de zorgverzekering dat je inderdaad bent wie je claimt dat je bent. De zorgverzekering zelf ziet jouw code dus nooit.

Iedereen weet dat je overal bij kunt met je DigiD code. Dus die geef je ook nooit door aan je belasting consulent! Zo'n consulent kan die aangifte wel onder zijn eigen identificatie code indienen. Als dat niet zou kunnen, klopt het systeem niet.

In aanvulling op de -uitstekende- reactie van Anoniem op 2012-12-30 om 14:40: een serieuze verzekeraar zal jou niet belazeren, maar het risico bestaat dat je (via een spam mail) gevraagd wordt om naar een nagemaakte site van jouw verzekering te gaan en van daaruit naar een nagemaakte DigiD website waarmee de aanvallers een "Man-in-the-Middle" aanval tussen jou en de echte DigiD site kunnen uitvoeren. Een vergelijkbare aanval is denkbaar met Ideal.

Let er daarom altijd op dat je, voordat je gevoelige gegevens invoert (waaronder wachtwoorden), er sprake is van een https verbinding zonder foutmeldingen met de bedoelde site in de URL balk. Zie ook https://www.digid.nl/veiligheid/ en klik op Controleer de DigiD website.

Overigens heeft de TS wel helemaal gelijk met zijn vraag. Bovenaan https://www.digid.nl/over-digid/wie-doen-mee/ staat:terwijl je onder "zorgverzekeraars" gewoon commerciële partijen ziet staan: gewoon een blunder vind ik, dit schaadt het vertrouwen van gebruikers. Beetje in het kader van "wij zullen nooit" en het vervolgens wel doen.

Voordat we allemaal te paranoide worden: een zorgverzekeraar heeft ook rechtstreeks toegang tot de GBA! Dan is het niet zo vreemd dat authenticatie via DigID geen probleem vormt.

Zoals al eerder opgemerkt laat ONVZ zowel DigID als een username/password toe. Dat laatste is echter pas weer aangezet nadat er klachten waren.

Erik van Straten , er staat :
dat is niet hetzelfde als :

Ergo dat je ermee bij de overheid kunt inloggen wil niet zeggen dat je het niet kan gebruiken als authenticatiemiddel bij anderen bv. zorgverzekeringen, pensioenfondsen ed. Maar inderdaad ook voor de hele overheid .

Dat vind ik op zich al reden genoeg om uiterst paranoïde van te worden. Daar hebben ze geen zak mee te maken!

Rechtstreeks? Dat denk ik niet. Zorgverzekeraars kunnen hooguit afnemers van gegevens zijn, zoals ook de Belastingdienst en de SVB dat zijn. Daarbij krijgt de afnemer dan alleen de gegevens die hij nodig heeft om zijn taak uit te voeren. En daar valt in de praktijk echt niet van af te wijken.