Hier ben ik niet blij mee. Bijvoorbeeld omdat wat de overheid ook belooft, ze breken hun beloftes toch wel, vroeg of laat.

En een stel ambtenaarsogen kunnen dat dus niet (... zo goed)?
Hier wordt niet de achterliggende werkelijke doel weergeven en dat is wat BOF wel probeert aan te geven wat het gevaar is wat er schuilt achter deze 'oh zo prachtige nieuwe technologie':

Gezichtsherkenningstechnologie is een massasurveillance middel
https://www.bitsoffreedom.nl/2019/11/29/amazons-rekognition-toont-zijn-ware-gezicht/

Zo'n digitale scan tbv gezichtsherkenning opslaan en dan in de eerste instantie alleen te gebruiken voor aanvraag van paspoort en dergelijke , matched niet met vervolgens te noemen dat het identiteitsfraude tegen zou gaan. Dan is het in tweede instantie ook nodig om deze scan te leveren aan banken, ziekenhuizen, notarissen,..., autodealers!

Nu zijn " de regels (nóg) gewaarborgd" , alsof dat garandeert dat dat in de toekomst nooooit meer voor iets anders gebruikt gaat/kan worden.

Bij het redigeren zijn ze het woordje 'nog' vergeten. Dit dossier wordt NOG niet bewaard.

Wellicht de gemeente Lelystad daar nog even op attent maken?

Dus je bent tegen fraude bestrijding?

Goede zaak.
Fraude met identiteit tegen gaan,daarom

Worden bezoekers van het kantoor bij die balies geïnformeerd / geattendeerd hierop, en hoe?
En wat voor 'n effect meent gemeente Lelystad eigenlijk met de gezichtscans te bewerkstelligen?
Gaat het om een paar kleine beetjes maar kennelijk enorm belangrijke extra borging?

Dat lijkt voor bij een paspoort aanvraag en uitgifte misschien een futiliteit.
Tenminste, als je ervan uitgaat dat het logisch is dat de gemeente het juiste paspoort ook persoonlijk aan de juiste persoon wil uitreiken.
En lukte dat vroeger allemaal dan niet / niet goed genoeg?
Hoe snel is die vingerafdruk opgeslagen in de chip als borging eigenlijk achterhaald geraakt en waarom?
Gaat het hier om paspoorten voor mensen die nog geen Schengen paspoort hadden?

Voor de beslissers over paspoorten is dat kennelijk allemaal al een gepasseerd station.
Zeker als je bijvoorbeeld bedenkt dat Frans Timmermans daarbij expliciet aangaf dat het van aanzienlijk belang is wil men überhaupt landen die relatief jonge tot wellicht nog geen definitief gevestigde Democratiën hebben wel tot het paspoorten-systeem van Schengen toelaten.
In die landen kan Frans Timmermans naar eigen z weinig vertrouwen zegt te hebben in de huidige paspoorten.
Volgens hem kan je eigenlijk pas volledig vertrouwen hebben in paspoorten waar combinaties en dan ook wel de geavanceerdere technieken worden toegepast.
Hierbij noemde hij specifiek zaken als gezichtsherkkening, en volgens hem liever nog dna plus andere technieken.
Dat zegt iets over hoeveel of weinig vertrouwen hij als bestuurder legt in de keten van paspoort uitgifte en gebruik.
Dat hij daarbij dan extra vertrouwen legt in dna data opslag is misschien wel heel arbitrair.

Waarom dan toch nu die gezichtsherkenning?
Met welke database(s) wordt het gematcht?
Die van de Schengen SIS-II systemen?
Anders zegt de gezichtherkenning door Lelystad misschien nog veel meer over het gebrek aan inzicht en toegevoegde waarde van die data en de chip dan over hoeveel veiliger de keten van paspoort uitgifte en gebruik kan.

Enfin, een beejte weldenkend mens voelt volgens mij wel op z'n klompen aan dat bestuurders ontwikkelingen eerder willen toepassen dan dat ze überhaupt uitgerijpt zijn.
Dat de arbitraire meerwaarde door toevoeging van de elementen aan paspoorten van paspoorten een lappendeken maakt en daarmee een goed samenhangende beveiliging en autorisatie van persoon identiteiten primair zeer problematisch wordt gemaakt.
Zeker op de momenten dat je het nodig hebt.
Dat zijn lang niet altijd die momenten dat een beoordelaar noch een geautomatiseerde scan, met de complexiteit van het paspoort stelsel en tal van bijkomende dynamische ondermijning scenario's voorop, alle elementen van zo'n paspoort effectief zal kunnen controleren.
Dat grenst aan het onmogelijke.
Dus waar doet een gemeente als Lelystad dit allemaal voor?

Jammer dat de ambtenaren zo corrupt blijken te zijn dat vertrouwelijke taken van hen moeten worden overgenomen door computers en machines.

Dus, inwoners van Lelystad, u bent net gedegradeerd tot fraudeurs.
Hiervoor waren toch de vingerafdruk scanners al?

Zeer van toepassing: https://onzetaal.nl/taaladvies/zoals-de-waard-is-vertrouwt-hij-zijn-gasten

Maar er klopt niets van. Hoe kun je een dossier maken van iets dat je niet opslaat. Dat kan gewoon niet, en dus wordt er opgeslagen. Want als de ambtenaar fraude vermoed, dan geef je geen document af. Als achteraf dit gecontroleerd kan worden, dan worden de scans dus WEL opgeslagen. En dat zeggen ze zelf, want er is een sleutel bij de afdeling Burgerzaken ( en dan hopen niet op een gele post-it). En dus kan er achteraf iets bekeken worden, en wordt er gewoon data opgeslagen.

Jammer dat het deze kant op moet.....

TheYOSH

Dat blijkt! De data wordt gedeeld met derden zoals de politie en in de toekomst aan wie dan ook. Het verschil met China waarbij je jouw foto genomen wordt als je een nieuw abbo moet nemen voor jouw smartphone is dun, erg dun. Ik weet niet welk argument ze in Lelystad hiervoor beoefenen maar ik vind het crimineel. Ennu goed bezig, Grapperhaus!

Ik bedoel, je foto hebben ze toch maar.

vermoeden is van fraude. Zie alle artikelen van over de belastingdienst.
Onschuldigen zoals u en ik, we worden allen beschuldigt van fraude.
Dus het wordt bewaard, gedeeld en opgeslagen for ever.

Heb je gelezen waar dat voor is? Die foto moet je toch al aanleveren als je een van deze dingen aanvraagt.

De software is beter in staat om bepaalde verschillen te zien dan de mens. Vooral als het een geheel ander ras is dan waar de baliemedewerker zelf toe behoort, heeft de mens moeite om kleine verschillen te zien.

Wel of niet weggooien is ook minder relevant omdat de ingeleverde pasfoto toch al in het systeem komt te staan.

Een andere reden zou kunnen zijn dat sommige baliemedewerk(st)ers het verschil tussen aanvrager en pasfoto niet _wilden_ zien, ook al hebben ze wel degelijk dezelfde etnische achtergrond als de aanvrager.

En zo'n ding hebben is verplicht, dus heb je geen keus.

Je kan ook niet even naar een andere gemeente want daar zijn ze dan ineens heel monopolistisch in.

Ik weet niet of dat zo is. Ik weet dat de software het vooral goed doet bij witte mensen, maar ook wel eens hard onderuitgaat bij niet-zo-witte mensen, aangezien de software gemaakt is door witte mensen. Dat blijkt toch weer een factor.

"Ja we hebben het toch dus kunnen we er toch ook toch al toch maar toch meer toch gebruik van maken. Toch."

Op de kaart, in de kaart, in het systeem, in het dossier, in andermans dossier, en nog meer andermansens dossiers, en zo verder. Het Houdt Niet Op. Niet Vanzelf.

En dat is precies wat er mis mee is.

Neen, dat had hij niet. Hij heeft een ID of paspoort zonder pasfoto :-)
Daar wordt niet meer aan gedacht. Wel aan 1984, China en Grapperhuis :-) :-)
Klopt helemaal.
De Kantonezen (Mongoloïde ras) vonden de Hollanders (Kaukasische ras) die in de 18e eeuw een handelsenclave in Kanton werden gedoogd (1728) allemaal gelijkogende 'roodharige barbaren'. en omgedraaid vinden geboren westerlingen - indien van het Kaukasische ras - Chinezen (Kantonezen) vaak allen op elkaar lijken.
Mag ik je corrigeren? Het is helemaal niet relevant als je al een paspoort of ID bewijs hebt, en het is volkomen relevant en legitiem om het wel te bewaren als je nog geen ID hebt.

Want de medewerker achter de balie kan dit zelf niet?

Goed. Welk kamerlid heeft het lef om nu te eisen om ook geslachtsscanners in te voeren op het gemeentehuis. Want dat staat net zo goed in je paspoort, er kan ruimschoots fraude mee gepleegd worden (omdat het tegenwoordig om de haverklap kan wisselen), en als het gezicht zo gedetailleerd nagemeten moet worden, waarom dan niet gelijk alles eens goed controleren?

Zodat tijdens legitimatie men er in elk geval op kan vertrouwen dat ook echt alles klopt wat er staat.

Aan de gemeente de taak om de identiteit van de houder te controleren. Maar waartegen moet er gecontroleerd worden? Wie kan überhaupt de identiteit controleren? Het is van zeer groot belang om een biometrisch gegeven op te slaan van iemand om daarmee uit te sluiten dat er geen identiteitsfraude wordt gepleegd. Tevens kan met deze informatie worden vastgesteld of iemand al eens eerder een paspoort heeft aangevraagd en is geweigerd.

Natuurlijk werkt dit alleen indien centraal gecoördineerd door de Rijksoverheid, niet bij één gemeente.


De foto in het paspoort staat digitaal opgeslagen op de chip in het paspoort, net als een foto van je vingerafdruk.
Alleen geselecteerde (meestal alleen overheid) organisaties hebben toegang tot deze gegevens, met goedkeuring van de houder (die moet het document immers afgeven voor een scan).

Als ik het goed volg wordt het scandossier enkel bewaard, wanneer er een vermoeden is van fraude en het gebruikt zal worden als bewijsstuk bij aangifte. In dit geval zou het gebruik van de gezichtscanners geen enkel probleem moeten zijn. Ze controleren je identiteit en als er geen vermoeden van fraude is, dan wordt de scan gewoon weer vernietigd (identificatie taak is voorbij) en anders wordt het opgeslagen als bewijsmateriaal.

Uiteraard ga ik er vanuit dat de scans op een degelijke manier worden vernietigd na gebruik en er geen "scandossiers" blijven hangen, omdat iemand over een paar weken gaat kijken of er sprake is van fraude bij een eerder gemaakte scan. Vermoeden van fraude zou moeten ontstaan op het moment van identificatie en niet achteraf.

Maar wat denk je van het Chinees DNA onderzoek om gezichtsprofielen van bepaalde groeperingen beter te kunnen voorspellen? Dit grenst aan de technologische hulpwetenschap[ voor eugenetica waar men in nazi Duitsland zo fier op was.

Je weet niet waar dat soort eugenetische profileringsonderzoeken tegenwoordig zitten in "global village". Laatst werd nog zo'n Chinese onderzoeker aangetroffen verbonden aan het EMC te Rotterdam. Wat ie daar deed had er niet mee te maken, maar hij was er wel in actief geweest.

Bij zulke gevallen komt de beangstigende toekomst wel heel dichtbij als vechters tegen deze bierkaai van overheden- en grootcommercie-elitairen hier niet tegen terugvechten of het aan de kaak stelllen, zodat een ieder duidelijk wordt, waar men eventueel naar toe dreigt te gaan, de "gevangenisplaneet" voor ons allen.

Als de Nederlandse spreekwoorden en gezegden niet machtig bent, kun je Nederlandse humor niet begrijpen en in de huidige verhoudingen krijgt de autochtoon dan liever een spreekverbod om niet van discriminatie te worden beschuldigd.

Woordgrappen in reclame kunnen door het facebook algoritme al verkeerd begrepen worden en dan wordt je 'schaduw verbannen". (miskend verschil en verwisseling begripen pakkie paki i.v.m. pakistaan).

Waar wil "men" toch heen met ons als mensheid o.l.v. AI?

Jodocus Oyevaer

Ik zou zeggen: doe het dan meteen goed en neem DNA af.
Al die weekmakende tussenstappen hoeft van mij niet. Je weet toch al waar het op uitdraait.

In dit artikel staat letterlijk:
Dit scandossier wordt niet bewaard en gedeeld met andere instanties, tenzij er een vermoeden is van fraude. In dat geval gebruikt de gemeente het scandossier als bewijsstuk bij de aangifte van identiteitsfraude".

Fraude blijkt logischerwijze pas later. Dus moet dit scandossier dus wel degelijk bewaard worden om de gegevens van de persoon aan de balie met de elders geregistreerde gegeven te kunnen vergelijken

Laat ik nou denken dat ze daar vingerafdrukken voor gebruikten?
Ziedaar de glijdende (privacy) schaal...

Nog zo een die altijd de blauwe ogen van deze ambtenaren geloven.

En hoeveel fraude werd dan gepleegd? Cijfers graag!

Mensen zijn nooit wit. Pak er maar eens een A4-tje bij (printpapier) en vergelijk.

Scandossier bewaard of niet, wat doet het er toe? Helemaal niets en waarom??.....

Volgens het oude systeem:
X komt een peroonsbewijs aanvragen. Daarvoor moet X een pasfoto inleveren.
X komt opnieuw een persoonsbewijs aanvragen als vervanging voor het oude. Daarvoor moet X een pasfoto inleveren.
X is niet X en komt een persoonsbewijs aanvragen. Daarvoor moet X een pasfoto inleveren.
In alle drie de gevallen heeft de overheid een pasfoto van X in het archief. Sinds 1945 nooit een probleem geweest en dan nu:
X komt een peroonsbewijs aanvragen. Daarvoor moet X een pasfoto inleveren. en van de kop van X wordt een scan gemaakt.
X komt opnieuw een persoonsbewijs aanvragen als vervanging voor het oude. Daarvoor moet X een pasfoto inleveren. en van de kop van X wordt een scan gemaakt.
In beide gevallen heeft de overheid én een pasfoto én een op de pasfoto gelijkende scan in het archief en dit werkt dus blijkbaar als de bekende rode lap op een stier?!?
We zijn er nog niet:
X is niet X en komt een persoonsbewijs aanvragen. Daarvoor moet X een pasfoto inleveren. en van de kop van X wordt een scan gemaakt. En hier is het BINGO. maar dat is van nul en generlei waarde, dat doet er niet toe!
Wel staat de meute waarvan én een pasfoto én een exact gelijkende scan in het archief zit op zijn kop van de hoge bloeddruk van het onrecht... (slik) dat hen wordt aangedaan!
Het is om je te bescheuren!!

Wat is in hemeltergends naam het enorme probleem waar bovenstaande zeurkousen over mekkeren en over elkaar rollen om van deze minder dan een mug maatregel een mastodont te maken omdat naast een al gearchiveerde pasfoto nu ook een volkomen gelijkende scan van de kop die al op de gearchiveerde pasfoto staat te bewaren?? Je kunt het niet geloven, maar ook hier is de ernstig besmettelijke privacy-neurose totaal reëel.

(Misschien heeft het iets met het landelijk consumptiepatroon van lachgas te maken...)

Is er iets mis met op een meer geavanceerde manier bestrijding van identiteitsfraude aanpakken? Blijkbaar wel dus:

Kom nu en wees een flinke vent: Trek de lijn door naar alles waarmee je digitaal belaagd kan worden en donder Script-blockers, add-blockers, en anti-malware voorzieningen er uit, want zonder dat alles kun jij toch wel zien of je met een frauduleuze website te maken hebt die je credentials jat en daarna misbruikt voor identiteitsfraude, of niet!

Nederland = China

En de nederlanders slikken het als zoete koek.
Ze hebben geen flauw benul waar dit heen kan gaan.

De kans dat "bijklussende" ambtenaren dit soort informatie verkopen, is in tegenstelling tot in Rusland (https://www.bleepingcomputer.com/news/security/moscow-cops-sell-access-to-city-cctv-facial-recognition-data/) natuurlijk ondenkbaar in een beschaafd land als het onze. Of?

Minstens even belangrijk is integriteit: welke waarborgen zijn er die voorkomen dat corrupte/bedreigde ambtenaren jouw of mijn foto door die van een ander vervangen (waarmee een crimineel jouw of mijn identiteit overneemt), en jij en ik nauwelijks of geheel niet meer kunnen aantonen dat wij de echte wij zijn? Nog even en ze gieten de koppeling van enerzijds foto en anderzijds BSN + NAW, geboortedatum etc. (na kruislingse verwisseling van foto/BSN etc.) - in een blockchain (of andere hype) waarna onomstotelijk vaststaat dat wij onszelf niet meer zijn...

Is dit wel iets waar gemeentes op eigen houtje mee moeten experimenteren? D.w.z. is dit voldoende doordacht of gaat het om een "briljant" idee van een onbenul? Het type idee dat -zoals gewoonlijk- onmiddellijk door fraude-hatende (en privacy-aan-alles-ondergeschikt-makende) naïevelingen wordt onarmd die om het hardst roepen dat je vóór fraude bent als je je waagt af te vragen of een vakkundige risico-analyse heeft plaatsgevonden, valkuilen zijn geïdentificeerd en allemaal kunnen + zullen worden herkend en gecorrigeerd?

Dat komt omdat wij geen vertrouwen meer hebben in de overheid om met zulke zaken goed om te gaan!

@Erik,

Fotografie in zijn bruikbare vorm bestaat al zo'n 125 jaar. Pasfoto's zijn er al zo'n 85 jaar. Die worden in onze gemeentearchieven bewaard. Neen corruptiebestendige ambtenaren bestaan niet net zomin als er corruptiebestendige politici of wijkgebouwbeheerders of penningmeesters van plaatselijke korfbalverenigingen bestaan. Want geen enkele ballotagecommissie heeft de unieke kennis in pacht om corruptiebestendige aspirant geëngageerden te isoleren.
Je gaat toch niet stellen dat m.i.v. "het op eigen houtje experimenteren" ineens ambtenaren corrupt gaan worden?
Uit de Egyptische Ptolomaeïsche (32e) dynastie 300 v.chr./ 30 n.chr. zijn 'papyri' bewaard waaruit al corruptie van ambtenaren blijkt.

Je hebt wel een belangrijk punt door te stellen dat er onderzocht moet zijn vooraf aan de implementatie of voor 99,9 % uitsluiten van crimineel Block-chain gebruik voldoende is geborgd.

Ik ga er van uit dat dit zo is.

Als we het vertrouwen in onze overheid opgeven staat de weg open voor anarchie > machtsvacuüm > 'sterke man' die daarin springt. Dat bevreest mij een factor 20 x meer dan een frauderende ambtenaar die zijn speelschulden wil vereffenen met een vuige deal.

Wat dacht je van fraude bestrijding aan de voorkant in plaats van aan de achterkant??
Beter gezegd, voorkomen dat fraude kan ontstaan is beter dan ongericht allerlei lapmiddelen inzetten.
Of denk je dat zo echt goed is geregeld dat mensen hier niet rondlopen terwijl ze onterecht in bezit zijn van indentiteit papieren?

Daar is iets minder makkelijk mee te rotzooien dan met de digitale vervanging.

Eerder andersom, maar dat is ook al niet wat er staat.

En dus?

Keer op keer blijkt dat een vergissing.

Dit is een reden waarom transparantie belangrijk is: Zodat je kan meekijken in de keuken en kijken of de onderbouwing wel klopt. Dit is ook een reden waarom je niet wil dat gemeentes zelf wat aan gaan rommelen met bepaalde soorten dingen, waar dit er dus een van is.

Oh, wat een interessante treinen-naar-het-oosten-type redenering.

Overheid bestaat bij de gratie van het volk, voor het dienen van het volk. Maken ze er een zooitje van, blijken ze het hen gegeven vertrouwen onwaardig, dan is dat aan de overheid om dat weer te herstellen. Doen ze dat niet, dan wordt het tijd voor een andere overheid.

Dat hoeft niet te betekenen een ander staatsbestel, maar wel dat de dysfunctionele gezagsdragers vervangen worden door minder dysfunctionele. Dat gebeurt nu chronisch niet. En dat kan inderdaad tot drastischer maatregelen leiden, bijvoorbeeld opstand of zelfs revolutie. Ik heb dat ook liever niet. Maar het is aan de overheid om tijdig het land van overheidsdysfunctie te vrijwaren. Ik hou ze niet de hand boven het hoofd. Gezagsdragers moeten hun positie waarmaken, en als ze dat niet doen, plaatsmaken voor betere.

Dit chronische probleem met de top beïnvloedt ook het gedrag lager op de ladder. Heb je meer van het ene, krijg je ook meer van het andere, en heeft de top ook minder slagkracht om individuele rotte appels uit het ambtenarencorps te weren. Dus beide zijn een probleem, dat zich onderling versterkt bovendien.

Oftewel, de verklaring is tegenstrijdig met de werkwijze wil die überhaupt effectief kunnen zijn.
Het is volstrekt niet eenduidig uitlegbaar wat de gemeente doet en wat ze zegt waarvoor ze het doet.
Het voldoet dus niet aan vereisten waar een overheid instantie met haar handelen aan moet voldoen.
De inbreuk qua maatregelen en garanties (zeer minimaal) op iemands privacy kan volstrekt het oogmerk ervan niet bewerkstelligen.
Ik zou zeggen, machtsmisbruik, subsidiair moedwillig oprekken van mandaat.

Veder zegt Lelystad ook nog:
Alleen Burgerzaken kan het scandossier ontsleutelen met een speciale decryptiesleutel. Deze manier van werken voldoet aan de AVG en de privacy van inwoners is gewaarborgd.

Dit lijkt me een zware verhaspeling en versimpeling van ICT technische mogelijkheden.
Waarbij de gemeente ook moet weten wat er bij behandeling van invoering van de AVG expliciet is gesteld over de AVG.
Namelijk dat invoering ervan niet slechts bedoeld is als beperkende uitleg van wie waar wettelijk toe gerechtigd is,
maar juist ook de voorzorg principes in werking stelt zodat onbevoegden NIET ongepland toegang krijgen tot privé gegevens.
En ook dat die voorzorg principes niet als Waver-programma (afvink formulieren) gaan functioneren.
De AVG gaat niet slechts over wat er in de wetsbepalingen is vastgelegd, ook over wat de wetgever ermee bedoelde en wilde bereiken.

Het is wel duidelijk dat Lelystad hier heel DUIDELIJK dus NIET VOLDOET aan de AVG wetgeving en de verhandelingen daarover.

Hier gaan wij dan :)

Welcome to DDR 3.0. Dit is veel erger dan de natte droom van Stalin.

Het nieuwe vliegveld Lelystad ligt binnen de gemeente Lelystad ...

De toekomstige ID-contole voor vakantievluchten zal daar ook met een camera plaatsvinden (eis van de gemeente).
Schiphol kan dan niet achterblijven ... Rotterdam, Eindhoven en Maastricht ook niet ...

U staat er gekiekt op!

Lang geleden vond het verlengen van rijbewijzen plaats in het provinciehuis (en als ik me niet vergis moest je destijds 3 pasfoto's meesturen). Uit betrouwbare bron weet ik dat het provinciehuis in Den Haag er, voor een deel van die pasfoto's, een bijzonder archief op nahield: de muur met gekke koppen.

Aanzienlijk minder dan 125 en 85 jaar kennen we digitale fotografie (en sinds de eerste digitale foto's zijn computers krachtiger, netwerkverbindingen sneller en opslag gigantisch veel groter en goedkoper geworden). Dat leidt tot heel andere risico's dan pasfoto's in een archiefmap. En internet staat vol met foto's naar keuze, ook van gekke koppen - of mooie koppen die op andere lijven kunnen worden gephotoshopt (wat nog niet zo heel lang met elke smartphone kan; ik vermoed dat het verbod op kopieerapparaten in Rusland niet streng meer gehandhaafd wordt). Tijden veranderen...

Iedereen die wel eens een stapel archiefmappen uit de (v/m) handen heeft laten vallen, weet dat gegevens door elkaar kunnen raken. Te veel geautomatiseerde systemen worden verkocht als volstrekt veilig: ongeautoriseerden kunnen onmogelijk gegevens opvragen (oeps [1]), laat staan manipuleren (oeps [2]). Op een enkeling na (die securitynieuws leest én begrijpt), realiseert verder niemand zich wat er allemaal fout kan gaan; als een burger beweert dat de output van de computer niet klopt, moet het wel die burger zijn die niet deugt.

[1] https://tweakers.net/nieuws/160874/harde-schijven-met-gegevens-japanse-belastingbetalers-duiken-op-bij-veiling.html
[2] Door de 'grote drukte' waarmee DUO te maken zei te hebben, zouden verkeerde gegevens aan elkaar zijn gekoppeld (of betrokkenen hierdoor gegevens van anderen konden wijzigen, weet ik niet - maar in een vergelijkbare situatie waarbij gegevens van verschillende personen door elkaar worden gehaald, zou dat zo maar wel kunnen): https://tweakers.net/nieuws/70674/overheidsorganisatie-laat-privegegevens-studenten-uitlekken.html

Goede discussie hierover trouwens gistermiddag bij het TV-programma Buitenhof: als de computer (die bijv. uitgekeerde toeslagen beoordeelt) concludeert dat de burger een fraudeur is, wie zijn wij (vanwege de automatisering, minder ambtenaren en met lagere kwalificaties) om daar tegenin te gaan? U bent een fraudeur, punt.

Criminaliteit verhardt. Ik zie bijvoorbeeld steeds meer auto's met een kleine 1 of 2 op het kenteken. Zouden die de laatste jaren minder goed vastzitten waardoor ze er af waaien (als dat boven de 120 gebeurt is dit probleem ergens in 2020 uit de wereld), of zijn diefstal/vervalsingen gevolgd door identiteitsfraude hier het probleem? Kennelijk dat laatste, zie https://nos.nl/nieuwsuur/artikel/2311658-criminelen-kopieren-nummerplaten-zelfs-die-van-de-koning-is-niet-veilig.html.

Nee. Wel zie ik dat de verleiding en/of druk groter zijn en/of dat daders denken dat de pakkans, met name bij digitale criminaliteit, klein is (waar ze wel eens gelijk in zouden kunnen hebben).

Ik niet. Een systeem dat gemaakt is om jouw identiteit te bevestigen, kan ook als uitkomst geven dat jij het niet bent. In mijn ervaring wordt zelden rekening gehouden met uitzonderingssituaties. En als die niet vaak voorkomen, gaan de betrokken ambtenaren er op den duur vanzelf van uit dat hun systeem onfeilbaar is.

Ik heb persoonlijk meegemaakt dat toen ik een nieuw paspoort ging afhalen op het stadhuis, de baliemedewerkster stomverbaasd was dat ik mijn oude paspoort op de balie legde. Want volgens "het systeem" was dat paspoort als vermist opgegeven (iets dat ik in elk geval nooit gedaan had, en ik ben dat paspoort ook nooit kwijt geweest). We hebben niet kunnen achterhalen hoe dit verkeerd in het systeem kon komen (noch wiens paspoort echt vermist was).

Ik heb over het algemeen een behoorlijk vertrouwen in onze overheid, maar op details gaan dingen soms verschrikkelijk fout.

Authenticatie van mensen is complexe materie, waarbij allerlei risico's op de loer liggen die men vaak niet ziet of niet wil zien. Tenzij een gemeente net Eneco heeft verkocht, kan ik me niet voorstellen dat ze over de mensen en middelen beschikken om dit systeem zorgvuldig te ontwerpen en te implementeren. Dit lijkt mij typisch iets voor de landelijke overheid. Dat het dan niet snel gaat komt deels door de (m.i. terechte) zorgvuldigheid, maar helaas ook doordat teveel mensen er hun plasje over menen te moeten doen. Stomvervelend, maar dat rechtvaardigt niet een quick en dirty aanpak, waarbij ik de indruk heb dat die in het geval van Lelystad is toegepast. Maar hopelijk vergis ik me en heb jij gelijk...

Ik ben er heel blij mee, er zitten in het paspoort aanvraag proces nou eenmaal onvolkomenheden, en de twee belangrijkste zijn: Het vergelijken van de aanvrager met het ingeleverde / bestaande reisdocument, en bij ophalen vergelijken of de persoon in kwestie ook de aanvrager is. Beide gebeurt niet, de vingerafdrukken of de foto worden hier niet voor gebruikt. Dan is faude mogelijk. Dus ik zeg: goede zaak, dat zouden meer gemeenten moeten doen.

Iets groter gezien, en iets waar de overheid nog echt niet aan kan, is dat precies door de "digitale transformatie" of hoe het hele feest deze week mag heten, de traditionele "papieren" identiteit steeds minder houdbaar is. Maargoed, de meeste mensen kunnen dit idee nog niet aan dus dat het toch al suffige ambtenarencorps er moeite mee heeft is niet verbazend. Maar de noodzaak begint langzamerhand wel te dringen. En het alternatief hoeft niet eens zo moeilijk te zijn. Het is vooral een questie van je standpunt en ook je verwachtingen ("wat is het, hoe zien we het, wat doet het precies?") aan te passen.

Er zit ook, gek genoeg, een stel amptenare bij de Sjaak Lentz-afdeling die het maar wat leuk vinden om met de nieuwste muziek mee te lopen, foefjes erin te stoppen, en zo verder. Ik snap best dat je identiteitspapieren moeilijk namaakbaar wil maken met hologrammen en weetikhetwat... maar het gaat ook wel eens niet goed. De hele chipperij heeft vooral nieuwe risicos geïntroduceerd, veel meer dan de maximale hoeveelheid waarmee ze de veiligheid verhoogd zouden kunnen hebben. Wat dus in de praktijk ook nog eens niet gehaald is. Mijn inschatting is dat per saldo de "kale" veiligheid er zelfs minder door geworden is, en dan dus nog plus de extra risicos.

Ik denk dat we ons steeds minder kunnen veroorloven daar ook vanuit te gaan. Zeker is het niet slim om dat te doen bij een overheid die andersom het eigen volk steeds minder het voordeel van de twijfel geeft. Het is een soort giftige zelfscanwinkel aan het worden: Je moet steeds meer zelf doen, de prijzen worden er niet lager door, en als er iets misgaat is het altijd jouw schuld.

(Een beetje zoals de informele samenvatting van de wetten van de thermodynamica: "You can't win. You can't break even. You can't get out of the game." Maar dan met meer: "Heads, the government wins. Tails, you lose.")

Dus omdat de gemeenten uit hun neus zitten te vreten moet er maar een hoop vergaand ingrijpende technologie naarbinnen geschoven worden? Die redenatie is ongeveer zo so li de als je schijf kunst en. Net of je denkt dat je Engels schrijft.

Daarbij vergeet je de risicos, namelijk dat toen er eens een burgemeester opdracht gaf om bij afgifte vingerafdrukken te vergelijken met een week eerder afgenomen en in het paspoort opgenomen vingerafdrukken, bleek een kwart niet te kloppen. Oftewel waar jij blij mee bent kon best eens grote ellende voor veel mensen opleveren. En dan hebben we het over gewone burgers die geen keuze hebben, maar verplicht worden mee te doen met de mallemolen.

Non sequitur. Dit helpt de discussie niet.

Wat een logica. Ze nemen toch vingerafdrukken af bij het afgeven van een paspoort? Hoe kan je uberhaupt een vingerafdruk vervalsen dan?

Hier ben ik niet blij mee. Bijvoorbeeld omdat wat de overheid ook belooft, ze breken hun beloftes toch wel, vroeg of laat.

Wat is de impact voor je, de informatie hebben ze immers toch al, aan de hand van de foto in je paspoort.

Leg eens uit welk bezwaar je ziet ?

In tegendeel, je zou ook inhoudelijk je bezwaren kunnen uitleggen.

Konden ze al lang en breed doen, op basis van je paspoort foto.

Onzin verhaal, als je fraude echt wilt bestrijden moet je alles waarmee je fraude kunt plegen niet meer via
internet regelen, dus gewoon aan de balie. Ze willen gewoon foto's van de burgers zodat ze die ze in de
toekomst kunnen gebruiken.

Waarschijnlijk zien ze China als voorbeeld hoe het moet in de toekomst.

En vervolgens een vals negatieve uitslag van de scan tgv een botoxbehandeling, kaakontsteking, neuscorrectie oid .
je hebt al gezeik als een ambtenaar zijn dag niet heeft, laat staan als dat door een computer ten onrechte bevestigd wordt

Dat van die vingerafdrukken klopt inderdaad, daarom is het gezicht met de foto in de chip een beter keuze.

De vraag is welk risico groter is, fraude of de false positives en de false negatives en hoe daarmee wordt omgegaan.

Wat een gejank om privacy elke keer weer.
Dit gaat om fraude bestrijding, niks meer, niks minder. Of willen we straks weer zeuren als er identity theft is gepleegd met ons eigen paspoort ?

Bewijzen dat jij het bent kan schijnbaar alleen maar met biometrische gegevens.
Als je bijvoor beeld naar Saudi Arabie gaat en een visum aanvraagd nemen ze je vinger afdrukken af samen met een foto.
Als je aankomt op het vliegveld controlleren ze je visum gegevens en je vinger afdrukken. Als je het land weer verlaat, is het dezelfde procudure.

Als dat gemekker door "experts" over hun privacy is alleen maar omdat er geen kennis is over het nut en doel hiervan.
Ondertussen zetten ze wel hun hele hebben en houden op FB, Insta, Twitter, etc.

We moeten eens ophouden met alles wat anders is dan "vroeger" af te kraken.
Mensen en verandering, eng he ?

Ik zie niet in hoe dat zo zou zijn. Het is een masjien dat maar gewoon blind vertrouwd wordt, en functioneert daarmee ambtelijk op precies hetzelfde principe, een zwarte doos en "computer say no." Technisch mischien totaal anders, maar wellicht ook niet, met "hashes" en weet ik wat voor technobabble er ingezet wordt om het te vergoeilijken en te verkopen.

Maar ambtelijk komt het allemaal weer terug in "mag niet van de regeltjes". Om dat een apparaat gebliept heeft en nu heb je een "scandossier" aan je broek hangen. Een amptenaart van de publiekspestdienst kun je tenminste nog een grote klap op z'n amptelijke kop geven. Zo'n apparaat merkt het niet eens. Vandaar dat de amptenaarts van gemeente Lelystad het wel mooi vinden om hun kennelijke ineptie achter zo'n apparaat te verbergen.

Je haalt hier wat dingen doorelkaar. En hoe ermee omgegaan wordt? Nou, er wordt een scandossier aangelegd en daar wordt je dan als burger op "onderzocht". Wat dat inhoudt? Ze doen moeilijk en jij als burger hebt er last van, want je wordt geschonden in het gebruikmaken van jou opgedrongen en verplichtgestelde overheidsidentiteitspas, waar je ongewild van afhankelijk gemaakt geworden bent.

Geweldig hoe iedereen er meteen op springt met het woordje privacy.

Vroeger keek men naar de pasfoto en vergeleek die, en daar maakte men wel eens fouten mee. Computers doen dat veel accurater en dat voorkomt dat *jij* slachtoffer wordt van identiteitsfraude.

Maarja, dan komen ze aan jouw data en dat mag niet, dat mag alleen bij anderen, niet bij jou. Agenten moeten ook altijd iemand anders bekeuren, niet jou, ookal reed jij te hard.

Maar er zijn toch al veel meer gemeenten die dit gebruiken? Bij mijn weten zijn er verschillende gemeente die al jaren een dergelijk systeem gebruiken. Ik weet dat https://www.oribi.nl/ een systeel leverd waarbij je ook een gezichtscan kan maken naast een ID-controlle.

Om dat ook frau de be strij ding niet on der pri va cy uit komt.

Je mag niet zo maar al les al leen maar om dat je toe val lig zegt frau de te be strij den.

Hoe heb ben wij dat ooit kun nen doen toen er nog geen bio me tri sche her ken nings ap pa ra ten be ston den ? ! ? ? ! ?

En, dus? Is Al me re te gen woor dig ook al on der deel van Sa udi Ar a bi ë?

En dat weet jij ze ker om dat wat pre cies?

Niet al le ver an der ing is ook be ter en daar mag je best op let len.

Bij voor beeld dat we hier nog al tijd Ne der lands spre ken en schrij ven en dus niet o ver al spa ties tus sen plak ken.

Er zijn geen inhoudelijke bezwaren, want er is geen inhoudelijk argument. De conclusie "Dus je bent tegen fraude bestrijding?" volgt niet uit het bericht waarop gereageerd werd. Als iemand vraagt wat je van de voetbalwedstrijd vindt en iemand zegt "een rode jurk" dan is daar ook geen inhoudelijk bezwaar mogelijk. Het antwoord volgt niet uit de premisse.

De vingerafdruk is dus niet meer voldoende genoeg.. Heel fijn is dit, ik herken dit wel. Straks mogen we niet eens meer anoniem op Internet. Het gaat allemaal gebeuren, over 10 jaar is al de privacy weg. Duurt niet lang meer misschien zelfs minder dan 10 jaar. Hebben we allemaal aan de sleepwet te danken. Niet aan de kinderen die wat illegale knallertjes online deed bestellen.. Zeer zeker ook niet aan de crimineel, want die maken zoveel fouten dat ze vanzelf hun kop wel stoten. Encrypted communicatie of niet..

Ze zullen het nooit honderd procent perfect doen, maarja "de computer liegt niet" dus als je dan de Sjaak bent, ben je ook gelijk goed ver van huis. Plus de data is gelijk digitaal beschikbaar en waar van je papieren administratie een rommeltje maken vrij snel opvalt binnen het ambtelijke, is dat van een digitaal rommeltje niet gezegd. Sterker, daar wordt regelmatig expres op ingezet, want dat levert allerlei mensen meer werk en meer geld op.

Dat is vooral wat je er zelf in leest, maar is niet wat er gezegd wordt.

Hartelijk dank. Je werpt een scherp licht op deze gang van zaken i.t.t. de dertien in een dozijn zinloze mopperpraat die hier - jammergenoeg - zo algemeen aan het worden is, zoals bijvoorbeeld van gisteren 23:30 uur:
Hier gaan wij dan :) Welcome to DDR 3.0. Dit is veel erger dan de natte droom van Stalin

(Wat moet ik daar nu mee? Neen, wat moeten wij daarmee? Wij, geïnteresseerden die hier komen en eerst moeten struikelen over mopperkonten die elkaar napraten in overtreffende trap.)

Jij veroorzaakte met jouw post dat ik in deze materie eindelijk aanknopingspunten zie tot differentiatie tussen het streven van de overheid tot een veilige (digitale) samenleving en hoe dit al of niet tot stand wordt gebracht.
Ik ben geen informatiedeskundige dus kennis uit de IT-hoek is mij welkom. Daarom bezoek ik Security.nl maar de stortvloed aan negatieve, denigrerende en niet op het onderwerp gespitste bijdragen zijn schrijnend en doen deze website geen goed. Ik snap totaal niet waarom de redactie dit maar laat voortgaan. Het zal het tijdsgewricht wel zijn denk ik dan maar.

Deze site tikt vooral persberichten over, en is daarmee een soort digitale koffiehoek voor iedereen die iets met security te maken heeft, of dat pretendeert. Je krijgt mee wat er zoal "in het wereldje" speelt, maar de basiskennis moet je zelf opduiken. En zoals je zelf ook weet en ziet, niet iedereen heeft die.

Ik weet niet wat hun motivaties zijn maar ik kan me zo voorstellen dat de redenatie ongeveer zo gaat: Als je een "vrij" discussieplatform wil hebben moet je ontzettend uitkijken met moderatie; voor je het weet verdwijnen er posts wegens meningmoderatie[1] en dan loop je groot gevaar dat inzichtelijke maar tegendraadse meningen ook sneuvelen.

Dus je verzint wat algemene regels ter bescherming van het platform en laat het verder zo vrij mogelijk. Dat je als bezoeker dan soms vrij veel aan prietpraat moet uitsorteren neem je dan op de koop toe. Het geeft wel een aardig beeld van het sentiment, wat ook waardevol kan zijn.

En ook, wie heeft de betere inhoudelijke argumenten, en wie lukt het totaal niet om inhoudelijk te zijn? Wie probeert het wel maar blijkt zo verknipt te redeneren dat er geen zinnig woord uitkomt? Dat laatste blijkt ook onder bestuurders nog wel eens het geval, en daar hebben gewone burgers er direct last van.

Maargoed, Erik van Straten is gelukkig echt niet de enige die nog wel eens inhoudelijk wil bijdragen. En als het vergelijkt met wat er op zekere andere sites te vinden is (*kuch* nujij, telegraaf, ... *kuch*), nouja, maak die vergelijking zelf maar.

[1] Indirect een reden waarom ik ondertussen helemaal niet meer bij tweakers kom.

Ik herken een duidelijk duikvlucht.
Ondanks dat het allemaal vrij voorspelbaar is blijft deze stap van Lelystad is beginsel gek en overbodig.
En wat is nou de aanleiding hiervan? Zijn de controles in Nederland niet goed genoeg?
Wil men de controles soms verzwakken?

Nota bene Frans Timmermans zei bij zijn persconferentie over biometrische elementen dat die vooral noodzakelijk waren voor landen buiten het Schengen gebied. Op vragen van aanwezige journalisten zei hij dat buiten de paspoort fraude (losweken van de plastic laag op de pasfoto pagina) in het voormalige DDR en Turkije, die dankzij de Duitse publieke omroep aan het licht kwam, er eigenlijk voor onze regio helemaal geen reden is om ons zorgen te maken.
Dat klonk nog enigszins logisch ook aangezien de Duitse paspoort fraude namelijk enkel mogelijk was doordat ze goedgelovig jan met een passend accent achter de paspoort balie volstrekt niet begeleidde.
Dus is wat Lelystad doet nou een gek soort georganiseerde onkunde?
Is gemeente Lelystad gierig?
Willen ze niet betalen voor checks door de marechaussee?
Of is er opeens haast voor een aantal gevallen die tegen deadlines aanlopen opeens een legitiem motief voor inbreuk op eenieder ander?
Speelt ondercapaciteit bij defensie hierin de rol en wordt door leuk van alles omheen georganiseerd?

Wanneer flitscamera's niet of niet goed blijken te werken worden die namelijk vervangen.
Wordt er soms met pasfoto's op paspoorten gefraudeerd?
Dat lijkt dan toch eerder op de gemeentehuizen zelf te gebeuren (getuige eerder reacties hierboven) dan dat door aanvragers hier in Nederland gebeurd?
Er worden nu gewoon allerlei elementen rondom het paspoorten-stelsel toegevoegd.
Gewoon omdat het niet anders kan en wel moet??

Defensie heeft al een hilarisch betiteld team ingesteld.
Ze noemen de mensen die daarin acteren ironisch genoeg zogenaamde cybercommando vrijwilligers.
De marcheusse ging volgens persberichten medio 2015 al gebukt onder de assistentie verzoeken vanuit o.a. Interpol.
Er zijn naar verluidt nog steeds op tal terreinen bij defensie ook tal van budgettaire en personele tekorten.
Waarvan bekend is dat die tekorten de primaire taakuitvoering fundamenteel daar zo ernstig beknellen dat die volstrekt in gevaar is.

De marechaussee dat ook onderdeel is van defensie heeft gewoon een desk om documenten op echtheid te controleren!
Dus wat is nou het probleem?
Je wilt als betrokken 2e kamer oppositie toch je controlerende functie serieus nemen?
Dan zou je minimaal op vlak van paspoort controle zo'n grondig onderzoek verwachten.
Er zijn immers nogal wat keuzes gemaakt waar de impliciete effecten sinds 1999 volgens mij om een grondige review vragen.
Dat vergt enige voorbereiding dus ik zou denken dat dat medio mei 2020 zou starten.
Maar dat is sowieso belangrijker en verstandiger dan nog weer allerlei halve maatregelen in te gaan voeren.
Hier lijkt echt veel meer aan de hand dan alleen wat gezichten die worden gescand!!

Mijn lieve heer, dit gaat helemaal nergens over. Ik zou dit direct weigeren, maar ik heb wel recht op een paspoort... wat zijn onze rechten hierin? Wellicht kan Arnoud hier iets over roepen?

Je "mag" dan verhuizen naar een minder dichtgetikte gemeente. Voorzover de haagsche kaasstolp of de brusselse ellende het niet alvast voor iedereen verplicht gesteld heeft.

Natuurlijk dat begrijp ik. Jou wil is dat stapje paspoorten te bemachtigen om fraude mee te plegen.
Het zeer onderbouwde doel hier is paspoorten geven enkel aan de juiste personen.

Als dat je referentiekader is dan ben je niet in staat om ergens lering uit te trekken. Je praat enkel anderen na die her van horen zeggen hebben.

Lees de laatste wobs eens door.
Het afb team had geen eigen systemen. Ze moesten apart met query verzoeken telkens opnieuw data elders vandaan halen
De computer werd zo net zo effectief gebruikt als de koffiebonenmaler. De echte beslissingen keuzes gemaakt door mensen. Vermoedelijk met wat marionetten er bij om het werk gedaan te krijgen. Onafhankelijk onderzoek betekent dat je ook de niet welkome feiten meeneemt.

Dank voor de link! Ik heb er even rondgeneusd, maar helaas vind je ook bij deze leverancier geen (althans niet openbaar) pentest- en/of andere (door als betrouwbaar bekends staande onafhankelijke derde partijen gemaakte) rapporten die iets zeggen over de kwaliteit, beveiliging en onderhoudbaarheid van hun producten.

@Phileas en mogelijk andere geïnteresseerden, het volgende.

Uit https://www.oribi.nl/cache/Id%20Burger.769/Id%20Burger.pdf:
Dat klinkt mooi, maar ik ken geen leverancier die zegt dat zijn product niet deugt. Zonder onafhankelijk onderzoek heb je geen idee - en wat niet helpt daarbij is de wetenschap dat cryptografie vaker fout dan goed wordt geïmplementeerd. Dat referenties van andere gebruikers beschikbaar gesteld worden zegt ook niet zoveel, omdat je daar geen negatieve ervaringen tussen zult vinden en je sowieso moet afwachten of andere klanten het product (inclusief de beveiliging) grondig aan de tand hebben gevoeld of hebben laten voelen.

Om een recent voorbeeld te geven hoe "blind vertrouwen" (in elk geval qua security) mis kan gaan: de Duitse ziektenkosten-verzekeraar "Techniker Krankenkasse" had, voor haar klanten, een overeenkomst gesloten met de Berlijnse firma Ada Health GmbH voor het gebruik van een "symptoom-checker" gezondheids-app genaamd "ADA". In de App Store en Play Store [1] was deze app zelfs voorzien van een "TUV" ISO/IEC 27001 keurmerk. Zojuist zag ik dat deze app meer dan 5 miljoen keer is gedownload en door ruim 200000 gebruikers beoordeeld is met een gemiddelde score van 4,7 (op maximaal 5) - daar kan de DigiD app nog een puntje aan zuigen ([2]).

Echter... op 11 oktober j.l. publiceerde Heise [3] (uitgever van o.a. het computertijdschrift c't - waar ook een Nederlandse uitgave van verschijnt) een onderzoek uitgevoerd in samenwerking met Mike Kuketz, waaruit blijkt dat deze app al gegevens van de gebruiker naar o.a. Facebook stuurt, nog voordat de gebruiker daar toesteming voor gegeven heeft - en daar blijft het niet bij (zie [4]).

Vorige week las ik [5] dat de "Techniker Krankenkasse" de samenwerking met Ada Health GmbH heeft beëindigd en dat het "TUV" ISO/IEC 27001 keurmerk van de Play/App store pagina's is verdwenen (Bovenin [5] zie je mooi het oude en nieuwe plaatje naast elkaar).

De "Techniker Krankenkasse" lijkt bijna alle verwijzingen naar die ADA app van hun site te hebben verwijderd, maar voor geïnteresseerden kon ik nog een PDF vinden waarin die ADA app wordt genoemd, zie [6].

[1] https://play.google.com/store/apps/details?id=com.ada.app&hl=nl
[2] https://play.google.com/store/apps/details?id=nl.rijksoverheid.digid.pub&hl=nl
[3] https://www.heise.de/ct/artikel/Massive-Datenschutzmaengel-in-der-Gesundheits-App-Ada-4549354.html
[3] Engels: https://www.heise.de/ct/artikel/Massive-privacy-deficiencies-in-the-health-app-Ada-4551629.html
[4] https://www.kuketz-blog.de/ada-gesundheits-app-mit-facebook-tracker/
[5] https://www.heise.de/newsticker/meldung/Techniker-Krankenkasse-beendet-Zusammenarbeit-mit-Ada-4604637.html
[6] https://gb2018.tk.de/app/uploads/TK-Gesch%C3%A4ftsbericht-barrierefrei.pdf

Ik heb geen idee hoe goed of slecht de producten van Oribi zijn, maar helaas is bovenstaand voorbeeld in mijn ervaring meer regel dan uitzondering - informatiebeveiliging staat nog te veel en te vaak in haar kinderschoenen. En zodra er concurrentie bestaat lijkt beveiliging het eerste te zijn waarop bezuinigd wordt om "competitief" te blijven - alle waar naar z'n geld.

Op de middelbare school heb ik, bij het vak scheikunde, een wijze les geleerd: ga er vanuit dat een stof giftig is als je niet 100% zeker weet dat het niet giftig is. Als je producten zoals van Oribi door de landelijke overheid - die zich waarschijnlijk meer competente en/of gespecialiseerde (security-) testers kan veroorloven dan een gemeente zoals Lelystad - laat testen, weet je beter waar je mee in zee gaat. Zonder grondig onderzoek moet je vertrouwen op de blauwe ogen van de directeur van zo'n bedrijf - die vermoedelijk meer verstand heeft van een bedrijf runnen en zakendoen dan van security, en die ook maar van zijn medewerkers moet aannemen dat zij er geen potje van maken. Maar uit ervaring weet ik dat ontwerpers en ontwikkelaars soms wordt opgedragen om niet veel tijd aan beveiliging te besteden - aansprakelijkheid voor gebreken daarin kun je immers makkelijker uitsluiten in overeenkomsten dan gebreken in overeengekomen functionaliteit.

@ Erik,

Met verbijstering heb ik de door je geposte URL (4) nu deels gelezen in je post van 00:16 uur Dit alles m.b.t. tot de producent/leverancier van een gezondheidsapp.
Ik krijg nu ik het laat bezinken het vermoeden dat de digitale wereld vooral zo complex en wankelbaar is omdat er heel veel kwetsbare variabelen in zitten die misbruikt kunnen worden zonder per definitie kwade aanzet maar eerder door het blinde vertrouwen in een wereld waar alles geprogrammeerd moet worden en van waaruit de druk komt hier in mee te gaan.
Ik ben bang als ik je expertises zo goed en kwaad als mogelijk doorgrond - voor wat ik ervan begrijp - dat het een race is die gereden wordt met exponentiële toename van toegepaste kennis evenredig met kwetsbaarheden door over-enthousiasme (negeren van mogelijke kwetsbaarheden vanuit kostendekkend risico-management= niet OK) Een automatisering die onafwendbaar en onomkeerbaar maar ook teveel gewenst wordt omdat anderen het ook doen; dus het zal wel goed zijn, en dat is naïef.

Typisch is dan echter weer vergeleken met 'security in the real world' dat daar de competitie tussen producenten/aanbieders/servicebedrijven juist is toegespitst op innovatie van veiligheid en - ja nu gaat me een licht branden - uitgezonderd een softwarepakket t.b.v. een GBS (gebouwbeheersysteem) dat alleen kan worden ondersteund door één specifieke Internet browser die allang een meer recente opvolger kent.

Ik vind dat verschil in veiligheidsnormbesef tussen de werkelijke en digitale wereld als er waarheid schuilt in mijn persoonlijke verkenning dan toch zeer zeker ook een signaal naar de gedragspsychologie om hier aandacht aan te besteden, ook als ondersteuning om het naar ik nu begin in te zien te vage veiligheidsnormbesef van (professionele) gebruikers van software te benadrukken.

@Philias,

Wat Erik van Straten zegt is ongetwijfeld waar en hij legt de vinger op een paar zere plekken tegelijk zelfs.
Maar ondanks wat terzake deskundigen beweren, doen degenen,
die de beslissingen hebben te nemen er niets mee.

En weer wordt er slechts meer van dezelfde onveiligheid opgetuigd.

Verder loopt een op de vijf kinderen in Rotterdam als armoedelijdertje rond.
Toch een zaak om je werkelijk voor dood te schamen in dit nog steeds voor sommigen zeer welvarende EU-land.
(Zo lang dat zal duren voor boer en buitenlui uiteraard?).

Ga je gezamenlijk schamen beleidsvoerders/eters uit de grote data-ruif.

Als we niet oppassen krijgen we weer neo-stalinistische tijden hier aan deze zijde van het continent.
Iemand leest wellicht in overtreding een gedeeld mapje met rechts gedachtengoed
op een gedeelde instellingscomputer en wil de AIVD op de hoogte stellen.
Wellicht moet hij of zij zichzelf eerder aangeven wegens bespionneren van een mede-burger?

Ik doe website security evaluatie en heb in twaalf jaar tijd de onveilige infrastructuur alleen maar zien toenemen,
ondanks de cosmetische verbeteringen als let's encrypt en https everywhere, onveilige jQuery bibliotheken,
ontbrekende headers bij validatie van client- en webserverkant.

Onveilig php versies, onveilige plug-ins en thema-code, geen CSP, siri-fouten,
allerlei kwetsbaarheid op te sporen met bijvoorbeeld SNYK en snort,
gedoogd cybercriminalisme op menig AS rack,
Russian Business Network domeinen bij Brabantse en Limburgse louche hostertjes.
Kortom ene grote fiool van ellende, die over alle eindgebruikers voortdurend wordt uitgestort
en waarmee we te leven hebben. Men doet er weinig of niets aan.

Waar is de reddende engel? Ik ben roepende in de woestijn en vreemdeling in eigen land en streek.
Vrij moedeloos wordt je ervan.

Ik vraag me af: "Rutte en kartel-politici-companen, waarheen leidt gij ons - Quo Vadis?".

luntrus

De te stellen vragen zij niet heel moeilijk.
- heeft de gemeente een grechtvaardigd belang?
+ zij zijn eigenaar beheerder van het bsn (via mGBA brp het klantnummer van de belastingdienst)
+ bij het verlenen van een paspoort (geen absoluut recht het een gunst naar burgers) verzorgen zij dd handelingen en administratie.
+ zij zijn verplicht met aansprakelijkheid dat het bij de juiste persoon aan komt. Dit vereist identificatie op biometrie
+ hebben zij toegang nodig tot een portretfoto? Dit is een open deur omdat het bij de eis en functie van het paspoort hoort

Heeft de burger ontvanger er belang bij dat het bij de juiste persoon komt? Ook dat lijkt me heel voor de hand liggend en bevestigend met ja.

Wat overblijft is zijn vragen zoals:
- is een gezichtsscan door technische hulpmiddelen (ondersteunend) beter dan wat een baliemedewerker kan?
Gezien alle commotie dat iedereen door camera's herkend wordt is het antwoord intussen: de techniek doet het Veel beter mits goed ingezet.
- wordt de technische realisatie wel goed gedaan?
Hier wordt voornamelijk met fud en het zou kunnen zijn dat .... op gereageerd. Weinig inhoud of constructiefs.

We kunnen ook gaan vragen:
- mag je je betaalrekening gebruiken?
- mag je je naam en adres geven?
Het is bij identiteitsfraude vaak een advies dat je dan fraude zou uitlokken. Wil je een rechtshandeling uitvoeren dan noemt de gdpr dat juist als een gegrond belang waarom verwerking en delen gerechtvaardigd is.

Het mag niet "want privacy" argument begint kolderiek te worden. Net een lang verhaal gehoord dat fraude bestrijding wegens privacy niet mag.

"Je ziet het niet dus is er geen probleem."

Dat is vrij vaak de essentie van hoe er met beveiliging wordt omgesprongen.

De gebruikers krijgen de software voorgeschoteld en moeten gewoon hun werk doen. Die hebben vaak helemaal geen keuze in de materie, dus wat doet hun normbesef ertoe?

Voorbeeldje: windows, helemaal GUI-gebaseerd, ziet er leuk ("klickibunti") uit en doet het dus goed bij presentaties voor inkoopmanagers. Dat, samen met het "is intuitief, geen training benodigd"-marketingverhaal heeft adoptie gedreven ook bij allerlei toepassingen waar "GUI" helemaal niet passend was. Waar nu heel erg langzaam een klein beetje van teruggekomen wordt, bv. te zien doordat microsoft met veel fanfare "powershell" als grote vernieuwende innovatieve verbetering aanprijst. Waar Unix-afficionados niet kunnen helpen er toch een beetje meewarig naar te kijken. "Goh, een jammere versie van wat we al 40+ jaar hebben. Echte innovatie, hoor." Maar dit terzijde.

Waar het om gaat is dat er een kennelijke disconnect is tussen hoe de inkopende manager zijn beeld gevormd wordt (door gelikte presentaties van strak-in-het-pak verkopers) en hoe zich dat verhoudt tot wat de werklui werkelijk nodig hebben. Dit is dus alleen nog maar "gebruik", en we zijn nog niet eens toegekomen aan ertegenaanschoppen en kijken wat er omvalt, wat je liefst zelf doet voordat iemand anders langskomt, dat doet, en er met de buit vandoorgaat, oftewel het security-aspect.

Want wie moet dat dan doen? De inkoopmanager? Die heeft als speerpunt "zich laten overhalen door gelikte presentaties en demonstraties." De werkman? Die heeft werk te doen. De systeembeheerder? Die heeft het kaartenhuis in de lucht te houden want anders kan de werkman z'n werk niet doen. En die wordt ondertussen ook aangenomen op "kan met klickibunti omgevingen overweg", niet op "heeft diep inzicht in de materie en kan er dus induiken om problemen aan te stippen." Dus zo'n fabrikant, voorzover die het zelfs maar horen wil, zal ook nauwlijks feedback op de security krijgen want er is bij de klanten niemand die daar iets zinnigs over kan zeggen.

En waarom zou dat dan dus tot speerpunt van de fabrikant gemaakt worden? Alweer microsoft, een ex-vp heeft ooit toegegeven dat zeker de eerste tien jaar nadat ze de internetboot gemist hadden security nog steeds "geen prioriteit" was, zeggens ze hebben er moedwillig met de pet naar gegooid, voor een stuk software met een installed base van zelfs toen al ruim 100+ miljoen.

En, zo weet ik uit informele andere hoek, een voormalig lid van het windows security team liet vallen dat als er security bugs gevonden werden, dan kon het team releases tegenhouden. Dat is enorm veel macht voor zo'n klein groepje in zo'n groot bedrijf. Maar dat konden ze alleen maar als ze bevestiging hadden van een fortune 500-bedrijf van het securityprobleem. Niet individuele gebruikers, niet security researchers, een fortune 500-bedrijf. Dan weet je gelijk waar het bedrijf z'n prioriteiten legt. En als je dat weet zie je dat inderdaad echt overal weer terug.

Een hoop voorbeelden van microsoft, is dat bashing? Zo zullen *kuch* zekere commentatoren *kuch* dat hier zeker opvatten. Maar laten we wel wezen, ze zijn een vreselijk grote softwarefabrikant, wellicht de grootste "op de desktop" en hebben zeer publiekelijk een lange leerweg gevolgd, en hebben zeker nog een lange weg te gaan. Een beetje zoals dat grootste sociale netwerk ook iedere keer zeer publiekelijk languit op de bek ging (en gaat) wat betreft privacy. Hoe dat zo kan? Mischien ook maar eens een psycholoog vragen. Maar het zijn zeker sprekende voorbeelden. En toch duurde het nog verdomde lang voordat men daar een beetje aan de security is gaan trekken.

Klopt. Maar soms gaat het wel goed - voor zover ik weet is er nog nooit een Nederlandse bank digitaal beroofd en in andere sectoren is er mogelijk zoveel laaghangend fruit dat je ermee weg kunt komen door een iets beter slot te hebben dan je buurman.

Waar we als mensen kennelijk nog steeds aan moeten wennen is dat cybercriminelen vanaf de hele wereld opereren (zonder fysiek ter plaatse te hoeven zijn) en de pakkans vaak zeer laag is; cybercriminelen zijn vaak lastiger vindbaar dan "gewone" criminelen, en als ze in een land blijken te zitten die hun gedrag gedoogt, ontlopen ze vervolging.

Klopt, dat is helaas mijn beeld.

En waarbij ook wel eens "vergeten" wordt om een onderhoudscontract af te sluiten - het is niet alleen de schuld van leveranciers. En waarbij de klant denkt dat leverancier product X oneindig zal blijven ondersteunen terwijl X alleen werkt in combinatie met software Y van andere leveranciers (besturingssysteem, browser-plugins zoals Silverlight, Flash of een in-browser Java VM etc.) en/of hardware Z.

In "pakketten van eisen" voor (deels) maatwerk die ik gezien heb, is informatiebeveiliging in bijna alle gevallen beperkt tot onzinnige kreten als moet "voldoen aan OWASP top 10" (die eis heb ik ook gezien voor software die niet eens web-based is) of moet voldoen aan ISO 27001 (nauwelijks zinvol). Bij aanbestedingen gaat de leverancier met een prijs die je in de Action winkel verwacht vaak met de opdracht aan de haal. Zonder uitzonderingen hopen/verwachten deze leveranciers na levering de meningsverschillen over gebrekkige of ontbrekende functionaliteit in geld om te kunnen zetten. Al die tijd komt interesse voor informatiebeveiliging op de tweede plaats.

En als de klant al ruim meer geld heeft uitgegeven om de gewenste primaire functionaliteit te verkrijgen, en er vervolgens achterkomt (vaak door een melding van een derde partij of na een serieus beveiligingsincident) dat het beveiligingsniveau onvoldoende is, komt deze als eerste erachter dat de (zelf geschreven of uitbesteedde en niet door een onafhankelijk deskundige gecheckte) requirements op dit punt veel te mager waren. Hoe leg je dat uit aan jouw superieuren (voor de overheid vaak de Tweede Kamer)? Onder het tapijt vegen is dan een verleidelijk keuze; de juiste optie betekent gezichtsverlies en kost ook nog eens veel geld - omdat de leverancier meestal zegt terug te moeten naar de tekentafel.

Security requirements en security-tests worden nog steeds als bijzaak gezien bij maatwerk, en leveranciers van COTS (Commercial Off-The-Shelf) producten moeten concurreren met prijsvechters die op slinkse wijze andere inkomsten weten te genereren uit aan jou verkochte producten. Uitgangspunt voor beide soorten leveranciers is dat de meeste klanten toch geen verstand hebben van security. Daarbij wordt dit type leveranciers ongevraagd (?) geholpen door malloten (zoals 06:56 hierboven) die om het hardst roepen dat privacy altijd ondergeschikt is aan de bestrijding van fraude, drugs, witwassen, kinderporno en terrorisme (terwijl die best samen kunnen gaan, maar dat kost wel serieus geld en je hebt er de juiste mensen voor nodig). Zo lang dit speelt hebben sites zoals deze bestaansrecht - en kun je elke dag opnieuw lezen dat er weer eens iets grondig mis ging.

Velen roepen dat informatiebeveiliging beter moet, maar puntje bij paaltje hebben we er met z'n allen eigenlijk geen geld voor over. Het heeft vele jaren geduurd voordat automakers kreukelzones bedachten en crash-tests gingen uitvoeren - wellicht moeten we nog wat geduld opbrengen. Met de AVG is in elk geval een eerste stap gezet.