Privacy
- Wat niemand over je mag weten
DigiD geschiedenis
17-09-2018, 12:22 door Anoniem, 12 reacties
Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
Reacties (12)
Is het niet zo dat het betreffende ziekenhuis zelf bijhoud wanneer je ingelogd was? In dat geval kan DigID zelf dus niet zien in welke ziekenhuizen jij ooit ingelogd was. De belastingdienst weet ook wanneer ik het laatst op hun site ingelogd was, ter controle voor jezelf...
Maar digid (en andere dergelijke systemen) zijn helemaal niet ontwikkeld om het jou gemakkelijker te maken maar om je te volgen. Onder het mom van fraude bestrijding e.d.
Ik denk dat er een gerechtvaardigd belang is om de geschiedenis *niet* weg te gooien. Waarom zouden ze? Waarom zou jij de geschiedenis gewist willen hebben?
Die geschiedenis zou er alleen voor jou moeten zijn, en is bedoeld om te controleren of je geen gekke entries ziet
die jij niet hebt gedaan, m.a.w. je kan zien of iemand je inlog heeft gekraakt.
Dat nut valt weg als je geschiedenis kunt wissen, want dan kan een nepperd die op je Digid in weet te loggen dat ook.
Als jij bewijzen hebt dat andere mensen je Digid-geschiedenis kunnen zien dan moet je de klok nog maar eens luiden.
Je kan als ik me goed herinner alleen in die geschiedenis kijken als je bent ingelogd met je Digid inlogwaarden.
Mogelijk log je eerst in op een bepaalde dienst die Digid vereist en ga je daarna rechtsreeks naar die geschiedenis
maar dan ben je waarschijnlijk nog steeds ingelogd op Digid op dat moment.
die jij niet hebt gedaan, m.a.w. je kan zien of iemand je inlog heeft gekraakt.
Dat nut valt weg als je geschiedenis kunt wissen, want dan kan een nepperd die op je Digid in weet te loggen dat ook.
Als jij bewijzen hebt dat andere mensen je Digid-geschiedenis kunnen zien dan moet je de klok nog maar eens luiden.
Je kan als ik me goed herinner alleen in die geschiedenis kijken als je bent ingelogd met je Digid inlogwaarden.
Mogelijk log je eerst in op een bepaalde dienst die Digid vereist en ga je daarna rechtsreeks naar die geschiedenis
maar dan ben je waarschijnlijk nog steeds ingelogd op Digid op dat moment.
Maar maak je je ook zorgen over het feit dat de overheid je wel heel eenvoudig kan volgen door gebruik van DigiD?
Aangezien ze jouw correcte 06-nummer en ip-adres hebben. Hiermee wordt het kinderlijk eenvoudig om data aan jou te koppelen. Tussenkomst van een rechter (stelt overigens ook niets voor) is niet nodig om op te vragen wie er achter een ip-adres zit, dit heb je ze al 'vrijwillig' cadeau gedaan.
En ja ik vertrouw de overheid niet, an sich denk ik niet zo heel gek; https://www.startpage.com/do/search?q=Minister+Kajsa+Ollongren+aftapwet+-site%3Anu.nl&l=nederlands (is ze overigens ondertussen al op staande voet ontslagen?).
Aangezien ze jouw correcte 06-nummer en ip-adres hebben. Hiermee wordt het kinderlijk eenvoudig om data aan jou te koppelen. Tussenkomst van een rechter (stelt overigens ook niets voor) is niet nodig om op te vragen wie er achter een ip-adres zit, dit heb je ze al 'vrijwillig' cadeau gedaan.
En ja ik vertrouw de overheid niet, an sich denk ik niet zo heel gek; https://www.startpage.com/do/search?q=Minister+Kajsa+Ollongren+aftapwet+-site%3Anu.nl&l=nederlands (is ze overigens ondertussen al op staande voet ontslagen?).
Door Anoniem: Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
DigiD midden werkt niet meer. men dwingt je om voor bepaalde zaken naar een app te gaan.
Door Anoniem:
DigiD midden werkt niet meer. men dwingt je om voor bepaalde zaken naar een app te gaan.
Hoeveel krijgen ze daarvoor van de smartphonefabrikanten?Door Anoniem: Kort geleden ontdekte ik dat DigiD de geschiedenis van je logins bijhoudt. Meestal niet zo'n probleem, maar bij de meeste patiëntenportalen moet je ook met DigiD inloggen. Dat betekent dat exact is vastgelegd wanneer je bij welk ziekenhuis inlogt. Op de DigiD site kun je alleen met gebruikersnaam en wachtwoord inloggen. Je kunt daar ook instellen dat je een sms-controle nodig hebt. Je moet dan het beveiligingsniveau "Midden" opgeven. Dit lijkt me wel aan te bevelen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
Ik heb aan de DigiD helpdesk een vraag gesteld of het mogelijk is de geschiedenis te verwijderen, maar heb daar nog geen antwoord op gekregen.
DigiD midden werkt niet meer. men dwingt je om voor bepaalde zaken naar een app te gaan.
En anders doen we het toch gewoon lekker ouderwets gezellig per fax?
(https://nos.nl/artikel/2250664-verpleegkundigen-zijn-faxen-en-overtikken-van-patientgegevens-zat.html)
Niet zo paranoide reageren aub. Er is een gerechtvaardigd belang zoals ik al eerder heb aangegeven. Dat belang geldt niet voor jou, maar voor het ziekenhuis.
Schei uit met niet vertrouwen van de overheid. Dit is simpel bijhouden of en wanneer er fraude wordt gepleegd. De logs worden vanzelf vernietigd.
2FA is goed. Prima zelfs voor dit soort logins.
Schei uit met niet vertrouwen van de overheid. Dit is simpel bijhouden of en wanneer er fraude wordt gepleegd. De logs worden vanzelf vernietigd.
2FA is goed. Prima zelfs voor dit soort logins.
(Toelichting van de vraagsteller) Misschien voor alle duidelijkheid: het gaat hier om inloggen bij https://www.digid.nl/, wat je natuurlijk niet zo vaak doet. Meestal gebeurt het via een andere site. Ik heb gisteren nog op deze site het niveau "Midden" ingesteld. Als ik opnieuw inlog krijg ik alleen de keuzes "Ik wil inloggen met gebruikersnaam en wachtwoord" en "Ik wil inloggen met de DigiD app". Als ik dan kies voor "Ik wil inloggen met gebruikersnaam en wachtwoord" krijg ik een SMS-code op mijn telefoon om in te loggen.
Ik heb er niet zo'n probleem mee dat de geschiedenis wordt vastgehouden. Dat is inderdaad goed voor controle. Maar ik vind het wat overdreven dat inloggegevens van 2015 nog worden vermeld. En ik was wel nieuwsgierig hoe je ze kon verwijderen omdat dat ingevolge de nieuwe privacywetgeving wel zou moeten. Of ziekenhuizen en andere instellingen zelf de inloggeschiedenis bijhouden weet ik niet, ik ben het in ieder geval nog niet tegengekomen.
Ik heb er niet zo'n probleem mee dat de geschiedenis wordt vastgehouden. Dat is inderdaad goed voor controle. Maar ik vind het wat overdreven dat inloggegevens van 2015 nog worden vermeld. En ik was wel nieuwsgierig hoe je ze kon verwijderen omdat dat ingevolge de nieuwe privacywetgeving wel zou moeten. Of ziekenhuizen en andere instellingen zelf de inloggeschiedenis bijhouden weet ik niet, ik ben het in ieder geval nog niet tegengekomen.
Is het niet zo dat het betreffende ziekenhuis zelf bijhoud wanneer je ingelogd was? In dat geval kan DigID zelf dus niet zien in welke ziekenhuizen jij ooit ingelogd was. De belastingdienst weet ook wanneer ik het laatst op hun site ingelogd was, ter controle voor jezelf...
Zo'n audit trail is ook handig indien er mogelijke sprake is van inloggen door onbevoegden.
(Bericht van de vraagsteller) Intussen heb ik van de DigiD helpdesk de informatie gekregen dat hun technische dienst de geschiedenis op verzoek kan verwijderen.
Functie-blind
Vraag je bij elk privacy of security probleem af welk probleem je nou eigenlijk probeert te tackelen en of het middel niet erger is dan de kwaal.
Als je de geschiedenis laat verwijderen kan je dus ook niet meer zien of er een ander heeft ingelogd op jouw digid account!!
Mits je ongeveer wel weet wanneer je hebt ingelogd.
Waarschijnlijk was die geschiedenis weergave nou juist een beveiligingsmaatregel bedoeld om jou te kunnen alarmeren.
Beter zou het zijn als daar nog een ip adres achter had gestaan opdat je sneller gealarmeerd wordt omdat je altijd vanaf huis op digid inlogt.
Met het wissen van data kan je wel je privacy willen verhogen maar je zit jezelf er ook mee in de weg.
Zelfde princiepe verhaal met het wissen van computer logs.
Dan nog dit, als dat wissen van die data dus nu mogelijk is, is het selectief wissen ervan ook mogelijk.
Ojee, en nu?
Daarom is het misschien maar beter dat het helemaal niet kan worden gewist, en aan de inlogmomenten valt relatief weinig af te leiden binnen het systeem zoals dat bestaat.
Vraag je bij elk privacy of security probleem af welk probleem je nou eigenlijk probeert te tackelen en of het middel niet erger is dan de kwaal.
Als je de geschiedenis laat verwijderen kan je dus ook niet meer zien of er een ander heeft ingelogd op jouw digid account!!
Mits je ongeveer wel weet wanneer je hebt ingelogd.
Waarschijnlijk was die geschiedenis weergave nou juist een beveiligingsmaatregel bedoeld om jou te kunnen alarmeren.
Beter zou het zijn als daar nog een ip adres achter had gestaan opdat je sneller gealarmeerd wordt omdat je altijd vanaf huis op digid inlogt.
Met het wissen van data kan je wel je privacy willen verhogen maar je zit jezelf er ook mee in de weg.
Zelfde princiepe verhaal met het wissen van computer logs.
Dan nog dit, als dat wissen van die data dus nu mogelijk is, is het selectief wissen ervan ook mogelijk.
Ojee, en nu?
Daarom is het misschien maar beter dat het helemaal niet kan worden gewist, en aan de inlogmomenten valt relatief weinig af te leiden binnen het systeem zoals dat bestaat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.