Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.

Door Anoniem: https://www.trouw.nl/binnenland/bewindvoerders-overtreden-noodgedwongen-de-wet-met-digid-inlogs~b988bc7d/?referrer=https%3A%2F%2Fmyprivacy.dpgmedia.nl%2F

Sommige burgers, bijvoorbeeld mensen met dementie, zijn daarvoor afhankelijk van mantelzorgers of een bewindvoerder, stelt Meldpunt, maar bij veel instanties is het niet toegestaan hen op naam van deze mensen in te laten loggen.

Als een machtiging wel is toegestaan, is die slechts tijdelijk geldig, stelt Meldpunt, en als een familielid of cliënt handelingsonbekwaam is, mag die machtiging niet langer worden verstrekt. …

…Het ministerie van Binnenlandse Zaken laat in een reactie aan het programma weten zich bewust te zijn van het probleem en wil uiterlijk begin 2022 een oplossing presenteren. In de tussentijd wordt het 'gedoogd' dat wettelijke vertegenwoordigers de privégegevens van cliënten of hun familieleden gebruiken om in te loggen via DigiD.

Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.

Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Door Anoniem: Je moet dus NIET je eigen DIGID afgeven maar een machtiging aanvragen:

Wat is DigiD machtigen?
Met DigiD Machtigen kunt u iemand anders uw zaken met de Belastingdienst laten regelen. Bijvoorbeeld uw aangifte inkomstenbelasting. U hoeft dan niet uw eigen DigiD af te geven. Want de gemachtigde logt in met zijn eigen DigiD en machtigingscode.

Altijd traceerbaar.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/#wat-is-digid-machtigen

Zaken uit handen geven brengt altijd risico's van misbruik met zich mee, van open WIFI tot delen van gegevens. Dat ga je nooit tegenhouden maar je moet dus wel altijd proberen te zorgen dat acties herleidbaar zijn naar een persoon.

Dus niet afgeven maar machtigen.


Als bewindvoerder kan je zelf ook het nodige doen, gebruik een laptop alleen voor je zakelijke werkzaamheden en doe er geen privé zaken op daarmee voorkom je "kruisbesmetting", ja een VPN kan helpen, nog beter is om geen open WIFI punten e.d. te gebruiken voor zakelijke werkzaamheden. Ja up to date houden, geen Windows gebruiken omdat de aanvals factor vele malen hoger is dan bij welk ander OS.

Door Anoniem:
Het probleem met machtigen is dat het te specifiek moet voor veel gevallen. Je kan iemand een machtiging geven voor "belastingaangifte 2019" maar voor 2020 moet dat opnieuw gebeuren. Voor iedere instantie moet je een nieuwe machtiging maken. Nu is dit op zich heel erg veilig maar het werkt niet als iemand met alle administratie geholpen moet worden.

Door Anoniem: Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.

Door Anoniem: …Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken …

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging.

Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.

Door Anoniem: Zover ik weet, kan je ook iemand voor 5 jaar machtigen voor alles!

Hoe lang is een DigiD-machtiging geldig?

Bij de aanvraag van de DigiD-machtiging kunt u zelf kiezen voor welke periode de machtiging moet gelden. Een machtiging voor 1 bepaald aangiftejaar, 1 dag, 1 jaar of meerdere jaren? Of een machtiging voor alle aangiftejaren? Dat laatste is handig als iemand voor u jaren achter elkaar aangifte inkomstenbelasting doet. Dan hoeft u niet elk jaar opnieuw een machtiging aan te vragen.

Door Briolet:
Voor de duidelijkheid. Een bewindvoerder is altijd door een (kanton)rechter aangewezen.
https://www.rechtspraak.nl/Onderwerpen/Bewind/Paginas/procedures-bewind.aspx


Waarschijnlijk niet, maar daarom moet de rechter besluiten dat de bewindvoerder gemachtigd is. Je kunt zeker niet hun gewone inlogcode gebruiken, want dan veranderen ze direct hun wachtwoord.

Dat laatste denk ik ook. Als er een bewindvoerder is, dan kan die persoon niet meer zelfstandig handelen. Dan moet misschien zelfs de gewone inlogcode voor de beheerde persoon ontoegankelijk gemaakt worden. In dat geval kan de bewindvoerder die inlogcode gebruiken omdat duidelijk is dat hij degene is die inlogt.

Alles hierboven lezend is het iemand machtigen voor een ander die onder bewind staat, geen abc-tje.

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Door Anoniem:
Overheid is al ruim 8 jaar bezig met een "oplossing", deze is er nog steeds niet...

Door Anoniem:
Die oplossing IS er al lang, namelijk de machtiging!

Door Anoniem: Voor dit soort gevallen bestaat de machtigingen voor iemand!

Door Anoniem: Waarom zou een bewindvoerder met het Digid van een client anders om gaan dan met z'n persoonlijke Digid ?

Beantwoord de vragen eerst voor 'is dit OK voor _mijn_ digid' . Zo nee, dan is het toch ook niet OK voor Digid gegevens van een client ?

Overigens : jij/de bewindvoerder zou heel goed naar

https://www.digid.nl/digid-aanvragen-activeren/machtigen/

moeten kijken. Misschien is één keer het gebruik van het 'native' Digid nodig om de machtiging te geven, maar erna is duidelijk door wie dingen gedaan zijn namens de client .

1) encryptie van de harddisk , laptop moet (zelf) locken, en überhaupt een goed beheerd (updates, firewall, virusscanner) worden. "Van de zaak" zegt _hopelijk_ dat dat het geval is.
2) dubieus- maar aan de andere kant - veel vertrouwelijke zaken zijn feitelijk tussen een 'kantoor' en een client - secretaresses en junior medewerkers op een advocaten kantoor zien ook veel van zaken die tussel advocaat en client spelen. Idem ondersteunend personeel in de medische sector .
Met een machtiging - die kan aan meer Digids hangen - is in elk geval zichtbaar welke handelingen door welke persoon - bewindvoerder zelf of medewerker - gedaan zijn

3) - moet kunnen , daar is TLS voor.
4) - met de juiste cloud provider, en goed ingericht moet dat ook kunnen ...

Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Door Anoniem: Het grootste risico lijkt mij nog steeds identiteitsfraude. Dat is strafbaar en zal een veel grotere consequentie hebben dan dat de DigiD inloggegevens op straat komen te liggen. Zo kan ik mij goed voorstellen dat een bewindvoerder die op deze manier inlogt straks niet meer aan de slag kan als bewindvoerder. Waarom zou je dat risico willen lopen en niet gebruik maken van DigiD machtigingen die hier voor bedoeld zijn?

Door Anoniem: Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.

Door Anoniem: Wat bedoel je precies als je schrijft dat de DigiD op de laptop van de zaak wordt bewaard? Een DigiD is niet een bestandje dat je op een harde schijf kan zetten. Bedoel je de inloggegevens of heb je het over iets anders?

Kennelijk is er geen voorziening voor bewindvoerders, wordt daar wel aan gewerkt en wordt het overtreden van de wet door bewindvoerders die zo werken tot het anders kan gedoogd:
https://www.trouw.nl/binnenland/bewindvoerders-overtreden-noodgedwongen-de-wet-met-digid-inlogs~b988bc7d/?referrer=https%3A%2F%2Fmyprivacy.dpgmedia.nl%2F

Door Anoniem: Je moet dus NIET je eigen DIGID afgeven maar een machtiging aanvragen:

Wat is DigiD machtigen?
Met DigiD Machtigen kunt u iemand anders uw zaken met de Belastingdienst laten regelen. Bijvoorbeeld uw aangifte inkomstenbelasting. U hoeft dan niet uw eigen DigiD af te geven. Want de gemachtigde logt in met zijn eigen DigiD en machtigingscode.

Altijd traceerbaar.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/#wat-is-digid-machtigen

Zaken uit handen geven brengt altijd risico's van misbruik met zich mee, van open WIFI tot delen van gegevens. Dat ga je nooit tegenhouden maar je moet dus wel altijd proberen te zorgen dat acties herleidbaar zijn naar een persoon.

Dus niet afgeven maar machtigen.


Als bewindvoerder kan je zelf ook het nodige doen, gebruik een laptop alleen voor je zakelijke werkzaamheden en doe er geen privé zaken op daarmee voorkom je "kruisbesmetting", ja een VPN kan helpen, nog beter is om geen open WIFI punten e.d. te gebruiken voor zakelijke werkzaamheden. Ja up to date houden, geen Windows gebruiken omdat de aanvals factor vele malen hoger is dan bij welk ander OS.

Door Briolet: Of je wel of niet machtigt heeft niet direct met de vraag van TS te maken. Met beide DigiD inlogcodes kun je bij de gegevens van die persoon. Dus de veiligheidseissen zijn gelijk.


In het stuk lees ik:
Veel instanties laten dus al niet toe dat je de inlogcodes van een handelsonbekwaam persoon gebruikt en eisen dus al een machtiging.


Tja, dat is inderdaad een kip-ei probleem. Een handelsonbekwaam persoon kan natuurlijk niemand meer machtigen. En als de machtiging altijd tijdelijk is, kan hij hem ook niet meer verlengen.


Een bewindvoerder wordt door de rechter aangewezen. Ik zou het logisch gevonden hebben dat het al lang geregeld zou zijn dat hij gedurende het bewindvoerderschap ook zo'n machtiging zou krijgen.

Door Tintin and Milou:
Is dit een officiële Bewindvoerder of gewoon iemand een bekend persoon dit voor deze persoon doet?


Complete onzin natuurlijk.

DigiD heeft hier namelijk al een hele goede mogelijkheid toe, dat is namelijk een machtiging gebruiken.

Door Anoniem: Ooit, ik denk nog voordat DigiD bestond, ben ik bij een bedrijf dat zich in bewindvoering specialiseert geweest om een IT-probleem op te helpen lossen. Het bleek verrassend lastig om het adres te vinden, we zijn er uiteindelijk via de telefoon heen geloodst. Dat bleek geen toeval te zijn, ze waren doelbewust moeilijk te vinden. Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken en die het volkomen normaal vonden om ongenoegen over zoiets met grof geweld duidelijk te maken. Ze waren zo onzichtbaar en onvindbaar als ze konden omdat ze met levensgevaarlijke cliënten te maken hadden.

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging. Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.

Door Anoniem: Volgens de rechter moet je de inlogcode van de cliënt die onder bewindvoering staat gebruiken, zolang de overheid niet komt met een goede oplossing.

Door Anoniem:
Iemand kan met z'n Digid ook een machtiging weer intrekken.

Ik denk dat er in het concept Digid/machtiging gewoon geen voorziening zit voor "tegenstribbelende" gemachtigden .

Aan de andere kant - ook voor Digid bestond er bewindvoering, en bewindvoeringsregisters waar partijen die (grote) zaken doen geacht worden in te kijken , dat ze geen geldige transactie kunnen/mogen aangaan met een onder bewind gestelde .
Dus ook al heeft de onder bewind gestelde (ook)controle over eigen Digid - gedane beslissingen kunnen door de bewindvoerder teruggedraaid worden .
Plus - voor het type 'failliet met koopzucht' - het soort dingen wat je met een Digid doet is nou ook weer niet zo boeiend.


Als de onder bewind gestelde min of meer meewerkt - of in elk geval niet actief (kan - vraag ging over Alzheimer) tegenwerkt - is het enige wat technisch nodig is voor een machtiging toegang tot de (fysieke) brievenbus van de onder bewind gestelde persoon.
Je kunt een machtigingscode aanvragen die als brief naar het huisadres van de persoon gaat .
Machtigingen kunnen ook aan meerdere personen gegeven worden .

Het probleem van 'netjes bewaren van inloggegevens van cliënt' en "delen van inloggegevens met assistent/vervanger" vervallen bij gebruik van een machtiging.

Door Anoniem: Volgens mij is DigiD machtigen meestal geen oplossing, o.a. omdat slechts 5% van de organisaties hierop is aangesloten.
Voor het hele verhaal lees:
https://www.maxmeldpunt.nl/digitalisering/mantelzorgers-en-bewindvoerders-in-de-knoop-met-digid/

93% van de bewindvoerders en andere wettelijke vertegenwoordigers gebruiken dus toch Digid van de client,
maar wettelijk "hang je" in geval er iets mis gaat. Want officieel mag het niet.
Dus je vraag is heel logisch, want je wil natuurlijk zo weinig mogelijk risico lopen, en je moet toch wat.
Toch denk ik dat je in dit geval voor jezelf het laagste risico loopt als je netjes met papier werkt, en geen DigiD van de client gebruikt. Maar ik snap dat het lastig is, en dat het met DigiD makkelijker en sneller gaat.

Met een computer zijn er in potentie zoveel verschillende risico's dat het vrijwel ondoenlijk is om alles op te sommen.
Gelukkig is het wel zo dat veel van die risico's erg klein zijn, en daarom gaat het best nog wel vaak goed.
Als je het wil doorzetten met DigiD kan je op dit forum misschien wat tips krijgen, zodat je hopelijk wat minder kans loopt
dat het fout afloopt, maar geen 100% garantie dat het nooit en te nimmer fout zou kunnen gaan.
Wees je hier goed van bewust voordat je een keuze maakt.

Als je het dan toch op eigen risico zou doorzetten om het met DigiD te doen,
reageer ik hieronder alvast met enkele tips op wat je had aangegeven:

Met het oog op punt 1:
- wees bedacht op diefstal uit de auto, en dat er niet te gemakkelijk toegang is tot alles wat op de laptop staat als een onbevoegde hem in handen krijgt. (wordt alles versleuteld opgeslagen, zodat niet te gemakkelijk alles wat op de laptop staat door een onbevoegde is te lezen of te gebruiken?)
- zorg dat je een werkende backup of copy achter de hand hebt van belangrijke data.
- wees ervan verzekerd dat op beide plekken de modem/router -instellingen zo veilig mogelijk zijn.
punt 2:
- heeft de assistent ervoor getekend dat wachtwoord en alles wat onder zijn of haar ogen komt vertrouwelijk moet blijven?
punt 3: Gebruik liefst helemaal geen wifi van een hotel, of als het echt niet anders kan: gebruik een betrouwbare VPN,
en zorg ervoor dat die VPN ook correct is ingesteld als er via de wifi van het hotel wordt gewerkt.
punt 4: werken vanuit een cloud kan een privacy risico zijn.
Verdiep je in de privacyvoorwaarden van het gebruik van die cloud,
en/of sla bestanden alleen goed versleuteld op in die cloud.

Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.