Laatste zin had moeten zijn "Voor iedereen staat een Minister die wel vaker niet de waarheid gesproken heeft"...
Het is of gelogen of het is de halve waarheid...
##Zijn ministerie heeft dat niet gezegd... Nou, dan is het een ander ministerie. Boeien.
##Het komt niet het rijbewijs... Nou, dan komt het in het paspoort of identiteitskaart.

Laat je straks je paspoort zien in een Hotel, dan gaat er via RFID meteen een melding naar de AIVD (om te kijken of je wederhelft ook mee is) enz enz.

Huh, gerommel in het Ministerium der Identitaetskartenspielerei.

Het grootste probleem met identiteit is niet het vaststellen: Het is dat zulke vaststellingen risico voor de vastgestelde opleveren, intrinsiek wegens dataophoping en alle soorten fraude en misbruik die dat oplevert, maar ook omdat je identiteit langzaamaan verwordt tot vooral een wapen tegen jezelf.

Dus om dan vrolijk "publiek/privaat" te konkelen, ben je vooral bezig met zowel het bedrijfsleven als de overheid zo efficient mogelijk tegen de burger op te zetten. Cru maar niet onwaarlijk gezegd, een overheid/industrieel complex der burgerhaat.

Waar hij zich mee bezig zou moeten houden, als minister abitieus zijn stempel na te laten, is om groot in te zetten op het niet nodig hebben van zulke risicodragende mechanismen, dat wil zeggen, daar waar we nu nog automatisch naar "identiteit" grijpen om risico van de ondernemer op de klant af te schuiven, moeten we leren hoe we zulk risico ook werkelijk kunnen inperken zonder dat daar identiteit danwel afschuiven aan te pas komt.

Voor een deel kan dat al, voor een deel moeten we nieuwe truukjes leren. Een mooie uitdaging voor een staatsman met visie. Maar meer dan een slap aftreksel (want "grijs hoofd" enzo, maar verder verbazend weinig inhoud) zie je niet meer tegenwoordig. Het vooruitzien heeft het haagsche al jaren geleden collectief achter zich gelaten.

Dat is een gruwelijk eenzijdige weergave van de feiten. Het is een minstens evengroot, zo niet groter, probleem dat identiteit
NIET goed kan worden vastgesteld en kan worden vervalst. Zeker ook omdat dit mogelijkheden biedt voor mensen die zich
juist niet aan de regels houden.

Je kunt denken "als overal mijn identiteit correct wordt vastgesteld dan kan ik nooit meer wegkomen met overtredingen of
andere stoute dingen" maar bedenk dan wel dat nu ANDEREN stoute dingen kunnen doen met JOUW identiteit, en dat dit
juist moeilijker wordt. Dat is ook wat waard, heel wat meer zelfs wat mij betreft.

Bovendien betekent de mogelijkheid om identiteit goed vast te stellen helemaal niet dat dat ook voortdurend gebeurt, maar
alleen dat dit goed kan gebeuren in de gevallen waarin dat belangrijk is.

Nee, het is de tot nu toe veel te onderbelicht gebleven donkere keerzijde van wat hier gebeurt. Maargoed, als jij het beter denkt te weten, laat ons maar je feiten zien.

Dat is de omgekeerde wereld, en precies het probleem.

De meeste mensen zijn eerlijk ook als ze niet voortdurend gevolgd en gecontroleerd worden. Je bent dus bezig infrastructuur te onwikkelen om een paar rotte appelen eruit te vissen... door er vanuit te gaan dat iedereen wel een rotte appel zal zijn tot het tegendeel bewezen is.

Mijn punt is dan ook om andere manieren te verzinnen om rotte appels eruit te vissen zonder gelijk van "schuldig tot het tegendeel bewezen" (onder de slinkse omkering "maar JIJ hebt toch niets te verbergen? toch?") uit te gaan.

Met andere woorden, dat met identiteitvaststellen doet niet wat ook jij er hier van verwacht. Ergo, "harder" vaststellen gaat hooguit het vervalsen wat duurder maken maar vooral ook de kosten voor de originele eigenaar van de vervalste identiteit disproportioneel ophogen.

De kosten voor het slachtoffer waren al hoger dan die voor de dader in deze aanpak, en dat wordt erger. Terwijl dit dus al een reparatie moet zijn; de remedie is erger dan de kwaal en toch kunnen we niet beter verzinnen dan meer van dezelfde remedie toepassen. HALLO.

Nee, want het gaat uit van de smetteloze goede bedoelingen en onbesproken gedrag van iedereen die maar identiteiten vaststelt. Waarmee je een hele nieuwe categorie mogelijk rotte appelen creert, die je niet controleert, en die daarmee vrij spel hebben in een hele berg te misbruiken data.

Dat is dus zeg maar uit naam van de hond uit de slagerij houden de kat op het spek binden... en de hond te straffen als de kat toch over de schreef gaat.

Ja ja, en sofinummers zouden ook echt alleen maar voor sociale en fiscale dingen gebruikt worden, en zo nog een leuk stapeltje voorbeelden.

Waarom schrijven we wetten en regels precies? Omdat als ze vaag en breed worden geschreven daar dus misbruik van gemaakt gaat worden. Inclusief door gezagsdragers en andere betrouwbaar te achten personen. Eigenlijk vooral want die zitten in de positie om dat makkelijk te kunnen doen en het zijn ook maar mensen.

Hier net zo: Zet het lekker breed op en er wordt dus misbruik van gemaakt in fijne kafkaeske boosmakertjes die als "ach, incidentjes" zullen worden weggewimpeld. Maar als je indirect misbruik geen probleem vindt, waarom is recht-toe-recht-aan direct misbruik wel een probleem?

Met andere woorden, hoe je het ook wendt of keert, het is nauwlijks goed te praten werkverschaffing met nare bijwerkingen. Maar dat zie je pas als je even doordenkt over het hele proces voor en na dat verplichte wapperen met je identiteit. Iets waar jij kennelijk nogal problemen mee hebt. Maar je bent in goed gezelschap, heel het haagsche heeft dat ook.

Desondanks zeg ik: Het echte en zelfs het vermeende probleem kan niet worden opgelost door deze aanpak. En dus moeten we met een betere aanpak komen. Iets zonder regeldruk afschuiven uit luiheid van de risicodrager. Iets wat minder geniepige en langlopende neveneffecten heeft. En laat dat nou precies zijn waar het me om te doen was.

NFC zit al in het paspoort. Sterker nog. daar zijn gewoon apps voor die het ding voldoende kunnen uitlezen.
Combineer dat met uid/ww en je kunt van digid sms authenticatie af.
Uiteindelijk komt die chip toch wel op het rijbewijs of welk identiteitskaart ook.

Ik noem bijvoorbeeld het feit Ron Kowsoleea. Deze persoon heeft zijn leven kapot zien gaan doordat er geen deugdelijk
mechanisme voor vaststellen van identiteit is.

Ik heb liever een systeem waarbij ik gewoon tegen die bank die claimt dat ik een lening heb afgesloten, of dat telefoon
bedrijf wat zegt dat ik een abonnement heb afgesloten, of justitie die mij voor iets probeert te vervolgen kan zeggen:
Nee hoor, mijn identiteit is niet vastgesteld, ik ben het niet geweest, zie maar het bewijs ligt hier.

Ik vind dat heel wat belangrijker dan al die ingebeelde en verzonnen scenario's van hoe het eventueel fout zou kunnen
gaan. Maar als jij liever paranoide bent, mij best hoor.

Dat is een leuk voorbeeld, maar is geen tegenwerping in dezen. Twee redenen:

Ten eerste: Was Imro C. nooit om "zijn" identiteit gevraagd dan had hij de kans niet gehad te frauderen. Met andere woorden, verzin systemen waarbij geen identiteiten nodig zijn en het hele probleem van fraude ben je in een klap voorgoed kwijt. Dit was mijn hele punt, en zo te zien snap je het nog steeds niet.

Ten tweede: De grootste ellende komt van herhaaldelijke langdurige nalatigheid allerlei dossiers bij te werken met de informatie dat er identiteitsfraude heeft plaatsgevonden en dat eerdere identiteitsvaststellingen dus niet langer als correct moeten worden aangemerkt. Daar verbeteren deze voorstellen helemaal niets aan, ze verergeren ze hooguit.

Dus dat jij dit als tegenwerping aanhaalt betekent dat je er nog steeds niet echt over nagedacht hebt.

En hoe stel je dat je voor?

Hoe "beter" zo'n systeem hoe schadelijker het resultaat als er toch gefraudeerd wordt. En hoe meer vereist hoe meer incentive om toch manieren te zoeken om slinks te frauderen.

Jij wil dat "het gewoon werkt" en dat snap ik best, maar als ontwerper van zo'n systeem kun je je dat niet permitteren. Dan moet je het zo bouwen dat het inderdaad voor de gebruikers "gewoon werkt", ook en vooral buiten de gebaande paden. Als je dat niet doet dan krijg je voortdurende ellende zoals, oh, ik kan de ov-faalkaart nog maar eens noemen. Of dat gemodder met WEP bijvoorbeeld. Je ontwerp moet robuust zijn tegen alles wat het in de werkelijkheid kan tegenkomen. En als er dan een anonieme criticus moeiteloos het ene scenario na het andere uit de mouw schudt waar jouw ontwerp niet tegen opgewassen gaat zijn, dan doe jij iets verkeerd. Jammer joh.

En ik zeg, wil je een robuust systeem dan moet je jezelf niet ophangen aan zo'n zwak punt als "identiteit vaststellen"; je moet manieren verzinnen waarmee je die dingen waar nu nog "identiteit" voor risicobeperking wordt aangewendt ook zonder dat en liefst met nog minder risico voor alle participanten, inclusief degene van wie nu nog identiteit verwacht wordt.

Alweer: Identiteit vaststellen is het zwakke punt, dus je kan dat wel zoveel mogelijk oplappen, dat "gewoon werkt" kan je wel krijgen maar nooit helemaal zonder fraude. Zoek dus naar wegen om die fraude nutteloos danwel echt onmogelijk te maken, en de makkelijkste manier is om geen identiteitvaststellingen nodig te hebben. Zo simpel is dat.

Je hebt jezelf hiermee [x] ongeschikt verklaard voor werken in de security.

Voor identiteitsfraude zijn er talloze voorbeelden, ik noemde er 1 maar er zijn er meerderen van, en voorbeelden van
gevallen waarin mensen zelf niks fout gedaan hebben maar het slachtoffer worden van het feit dat hun identiteit correct
is vastgesteld heb je niet kunnen geven. Alleen verhalen over als er gefraudeerd wordt of als men geen goed systeem
maakt. Ik ga er echter (in tegenstelling tot jij) niet meteen vanuit dat men een slecht systeem maakt.

Bovendien ben ik van mening dat men voordelen tegen nadelen moet afwegen en niet iets wat wellicht ergens een nadeel
heeft moet afserveren. En al helemaal niet met die "ik weet het allemaal veel beter" aire.

Met alle respect, maar ik wil je toch even een spiegel voorhouden:
"gruwelijk eenzijdige weergave"
"ingebeelde en verzonnen scenario's"
"paranoide"
"Ik ga er echter (in tegenstelling tot jij) niet meteen vanuit"
""ik weet het allemaal veel beter" aire."

Dat zijn nogal sterk uitgesproken waarde-oordelen. Dat maakt wel wat los. Te meer omdat deze en nog veel zwaardere waarde-oordelen ("Iedereen vindt het een burgerplicht, behalve degenen die iets te verbergen hebben", "niet meewerken is op zich al verdacht" bijvoorbeeld) aan de orde van de dag zijn. En ook tot daden leiden. Niet meewerken betekent onder anderen geen uitkering (je kan je niet identificeren), geen werk (je kan je niet voor een arbeidscontract identificeren), geen
zakendoen (heb ik misschien nog een andere legale bron van inkomsten gemist?).

Je zal hier niet veel paranoïde mensen vinden, wel die onderhand onder het verbale en andere geweld shellshocked zijn geraakt.

Daar komt nog iets heel belangrijks bij. Op het moment dat er sprake is van identificatie, van volgen, van bevoegdheden, komt onmiddellijk de vraag onuitgesproken op tafel: "Aan wie geef je het eigenlijk?" "Hoe denkt die over je?" Dat is maar afwachten. Maar met dergelijke oordelen hoef je "Hoe denkt die eigenlijk over je?" alvast niet meer af te wachten... Dat weegt meteen als ernstig minpunt mee.

Maar we dwalen wat af. Over de veiligheid of onveiligheid van identificatie. Je haalt Ron Kowsolea aan en zegt daar bij: "Ik noem bijvoorbeeld het feit Ron Kowsoleea. Deze persoon heeft zijn leven kapot zien gaan doordat er geen deugdelijk
mechanisme voor vaststellen van identiteit is.

Ik heb liever een systeem waarbij ik gewoon tegen die bank die claimt dat ik een lening heb afgesloten, of dat telefoon
bedrijf wat zegt dat ik een abonnement heb afgesloten, of justitie die mij voor iets probeert te vervolgen kan zeggen:
Nee hoor, mijn identiteit is niet vastgesteld, ik ben het niet geweest, zie maar het bewijs ligt hier."

Welnu, juist bij Ron Kowsolea was al in een heel vroeg stadium bewezen dat hij het slachtoffer van identiteitsdiefstal was. Echter, het systeem 'gaf de voorkeur aan' de foutieve informatie dat Ron Kowsolea de levensgevaarlijke crimineel was boven de juiste informatie dat hij het onschuldig slachtoffer van identiteitsdiefstal was. En dat ja-ren-lang. Meer bewijs van identiteit helpt niet tegen het fundamentele probleem, namelijk dat de systemen allerminst fail-safe zijn. Als het kwaad eenmaal geschiedt is, twijfelt niemand meer aan de 'echtheid' van de foutieve smet op het blazoen. Erger nog, betrouwbaarder lijkende systemen maken dat erger.

Die dame uit Maleisië kan er ook van meepraten: 8 jaar ten onrechte op de no-fly list, niet eens zozeer omdat een FBI-agent het formulier verkeerd om invulde, maar omdat de staat vervolgens al die tijd bewijs van haar onschuld tot staatsgeheim heeft geprobeerd te krijgen, niet ontvankelijk heeft geprobeerd te laten verklaren enzovoort. Zij had geluk, iemand had er $3 miljoen aan advocaatskosten voor over om dat recht te zetten.

Men kan nog een tijdje doorgaan. Fred Spijkers, Ad Bos, Paul van Buitenen. Op een gegeven moment onstaan patronen. Enerzijds dat het door kwade wil of domme pech voorkomt, en dat het vervolgens bijna onherroepelijk erger wordt dan strikt nodig omdat de foutieve informatie voor gaat boven de werkelijkheid. Anderzijds dat de uitzondering niet is dat het voorkomt, maar dat de personen de middelen ter beschikking hebben om de waarheid dat zij slachtoffer en geen dader waren als feit op tafel te krijgen...

Behalve vragen om concrete voorbeelden kan men ook kijken naar de zwakke plekken. Dit is zelfs de voorkeursmethode in situaties waarin safety first geldt, zoals medische situaties of lucht- en ruimtevaart. Uit de luchtvaart komt ook het principe dat een systeem eerst en vooral fail-safe moet zijn (gescheiden systemen, meer motoren dan nodig, een APU voor het geval alle motoren uitvallen zodat je nog wat besturing hebt enzovoort). En uit de luchtvaart komt het principe dat als er iets een fundamenteel probleem heeft, dat dan het hele betrokken type aan de grond wordt gehouden tot alle technische en procesfouten zijn opgelost.

Dat is de achterliggende eis van mijn collega-anoniem. Hij wil dat voorlopig geen nieuwe identificatiesystemen worden uitgerold tot aantoonbare verbeteringen worden doorgevoerd in de fail-safe van de bestaande systemen. En naar mijn idee valt daar veel voor te zeggen.