image

Privacy First: overheid dwingt burgers om Apple of Google te gebruiken

maandag 10 mei 2021, 14:43 door Redactie, 20 reacties

Apps van de overheid, zoals de DigiD app, CoronaCheck-app en CoronaMelder, zijn alleen in de appstores van Apple en Google te vinden waardoor burgers richting de Amerikaanse techbedrijven worden geduwd en dat is absurd, zo stelt stichting Privacy First.

Logius, de ict-dienstverlener van de overheid, liet laatst al in een interview met Security.NL weten dat de Rijksoverheid vanwege beveiligingsredenen alleen apps via de app stores van Google en Apple aanbiedt. "Het is absurd dat burgers zo gedwongen worden om Apple of Google te gebruiken. Er moeten altijd ook andere middelen beschikbaar blijven", zegt Vincent Böhre, directeur van Privacy First, tegenover het FD. Volgens cijfers van het ministerie van Volksgezondheid gebruikt 99,2 procent van de smartphone-gebruikers Android of iOS.

In het geval van Android zijn er ook alternatieve appstores, zoals F-Droid. Deze appstore controleert naar eigen zeggen waar mogelijk de broncode van aangeboden apps op security- of privacyproblemen. Ook volgt het gebruikers niet en houdt het niet bij wat die installeren. De bij F-Droid betrokken ontwikkelaar Hans-Christoph Steiner vindt dat de overheid alternatieven juist zou moeten stimuleren. "Als overheden ook ons logo naast hun app zouden plaatsen, dan zou dat voor ons een geweldig verschil maken", laat Steiner aan het FD weten.

Reacties (20)
10-05-2021, 15:24 door Anoniem
Burgers die zich ongerust maken over het gedwongen gebruik van een onveilige smartphone voor hun DigiD, bank, paspoort, vaccinatiebewijs, en andere privézaken, kunnen hieronder verder lezen:

https://www.security.nl/posting/702505/EFF+publiceert+privacytips+voor+smartphonegebruikers
10-05-2021, 15:55 door Anoniem
Hebben deze mensen nou niets beters te doen.. Alleen maar zeiken tegen de overheid verder niets..Puke
10-05-2021, 16:38 door Anoniem
Klopt de overheid apps en vele andere apps werken niet zonder contact Google. Alle smartphones gebruiken Google zeggen ze dan maar zijn er Android smartphones te koop zonder Google in normale winkels? Nee alleen mensen met kennis weten er aan te komen het grote publiek weet en kan dat niet? De vrije keuze moet er komen?
10-05-2021, 17:25 door Anoniem
Privacy First roept rond Corona af en toe dingen die te ver gaan, maar hier hebben ze helemaal gelijk.

Telefoons zijn nog niet doorontwikkeld tot het punt dat ze echt eigendom van de gebruiker zijn; de fabrikanten kunnen er na jaren nog steeds meer mee dan de rechmatige eigenaar, en willen dat ook zo houden. Dat zou gewoon niet moeten kunnen.
Dat leidt niet alleen tot verlies aan privacy en tot massabeïnvloeding, maar ook tot meer verspilling, minder digitale veiligheid voor de gebruiker, minder (vrijwel geen!) concurrentie, en meer ongelijkheid.

Ik laat als tech professional al decennia lang de smartphone om precies die reden links liggen.

Het is typisch. Aan de ene kant proberen overheden (eindelijk) de macht van big tech enigszins in te dammen, aan de andere kant drijven ze mensen in de armen van datzelfde big tech, nu zelfs tot op het punt dat ze mensen buitensluiten die op goede gronden andere keuzes maken.

Privacy First trekt terecht aan de bel.
10-05-2021, 18:15 door Anoniem
Vergeet de afhankelijkheid van Google Play Services niet!

In marked contrast, we find that the Google Play Services component of these apps is extremely troubling from a privacy viewpoint. In one “privacy conscious” configuration, Google Play Services still contacts Google servers roughly every 20 minutes, potentially allowing fine-grained location tracking via IP address. In addition, Google Play services also shares the phone IMEI, hardware serial number, SIM serial number, handset phone number, the WiFi MAC address and user email address with Google, together with fine-grained data on the apps running on the phone. This data collection is enabled simply by enabling Google Play Services, even when all other Google services and settings are disabled. It therefore appears to be unavoidable for users of GAEN-based contact tracing apps on Android. This level of intrusiveness seems incompatible with a recommendation for population-wide usage.

https://www.scss.tcd.ie/Doug.Leith/pubs/contact_tracing_app_traffic.pdf
10-05-2021, 18:29 door Wim ten Brink
Tja, klinkt leuk maar als die alternatieve stores toegang wil tot de broncode dan begrijp ik waarom die niet gekozen zullen worden. En F-Droid klinkt leuk, maar ze kunnen mij niet dwingen om mijn project als open source te publiceren. En F-Droid wil eigenlijk alleen maar open source hebben. Voor hen moet het gratis en open source. Nee, bedankt!
Maar het probleem met al die app stores is dat gebruikers dan door alle bomen het bos niet meer zien. Er zijn genoeg malafide appstores op het Internet te vinden waar je als gebruiker niet je apps vandaan wilt halen. Dus al die andere appstores zijn leuk, maar in principe onbetrouwbaar. Om de risico's voor gebruikers te reduceren is het beter om een minimaal aantal appstores te gebruiken, hoewel overheden natuurlijk altijd hun eigen appstores kunnen maken. (Maar ja, is de overheid daar wel betrouwbaar genoeg voor?)
Bovendien gaat het ook om aantallen. Enorm veel mensen hebben nu eenmaal een iPhone of Android telefoon met daarop de standaard software. Bij Android vaak ook nog met extra rotzooi van de fabrikant en bij beiden ook vaak rotzooi van de provider. Plus de troep die je als gebruiker erbij installeert. Er zijn maar weinig mensen die totale controle over hun toestel hebben, simpelweg omdat het voor de meesten veel te moeilijk is. De meesten zijn immers geen ervaren ICTers die het verschil weten tussen megabit en megahertz. (En als ik "baud rate" zeg dan zullen veel ICTers mij ook verbaast aankijken...)
Als overheid moet je nu eenmaal uitgaan van dat de meeste burgers gewoon dom zijn. De helft van de Nederlandse bevolking heeft immers een beneden-gemiddelde intelligentie! (Doordenken voor je daar op reageert!) Wij allen op deze site zijn slim maar er zijn genoeg mensen die veel gewoon niet snappen. En een app van de overheid moet toch door ten minste 95% van de bevolking gebruikt kunnen worden. (Voor alle duidelijk, da's iedereen met een IQ van 70 en hoger.) Als je die mensen dan ook nog in de war gaat brengen doordat je app op 20 verschillende appstores beschikbaar is, dan zal je zien dat ze naar die Russische appstore gaan waar de echte app dus niet te vinden is, maar wel... Tja, bedenk dat zelf maar...
Nee, dat de apps alleen op de twee officiële stores te vinden is (Apple en Google) vind ik prima. Sowieso, als ik privacy wil dan vermijd ik gewoon mijn mobiel want naast Google luistert ook de fabrikant en mijn provider mee met wat ik erop doe. Mijn mobiel? Die is om mee te bellen, verder niets...
10-05-2021, 18:59 door Briolet
Door Wim ten Brink: …Nee, dat de apps alleen op de twee officiële stores te vinden is (Apple en Google) vind ik prima. .

Ik ben het er mee eens dat je mensen niet richting allerlei onbekende appstores moet sturen. Dan weet men al gauw niet meer wat betrouwbaar is. Maar als overheid kun je toch zelf de eigen apps aanbieden? Als de overheid de app aanbied, zou ik het bijna meer vertrouwen dan wanneer Google dezelfde app aanbiedt. Er zijn meer firma's die zelf de apps voor Android aanbieden.

Aan de Apple kant is het lastiger. Voor de Mac kun je de apps nog wel bij de maker downloaden en dan installeren. Zo bied de ABN-Amro zelf een app aan voor de mac en windows om hun eDentifier te gebruiken via usb. De iPhone is volgens mij wel helemaal dichtgetimmerd. Maar daar kies je voor als je deze telefoon koopt.
10-05-2021, 19:01 door Anoniem
Probleem met Apple en Google is dat om hun store te gebruiken moet je eerst een account aanmaken.
Een keer aangemaakt zal je zien dat je contact-lijst / beeldmateriaal etc van je mobiel snel richting het bedrijf wordt verzonden.

Lijkt mij bizar dat om een officiële app te kunnen gebruiken, je je persoonlijke gegevens met een commerciële bedrijf eerst moet delen.

Een app store op nationaal of Europees niveau zou een prima oplossing zijn. Met een extra link op de relevant officiële website ( naast Apple en Google) is er geen reden waarom iemand op een verkeerde appstore zou belanden.
10-05-2021, 19:22 door Anoniem
Door Wim ten Brink: Tja, klinkt leuk maar als die alternatieve stores toegang wil tot de broncode dan begrijp ik waarom die niet gekozen zullen worden. En F-Droid klinkt leuk, maar ze kunnen mij niet dwingen om mijn project als open source te publiceren. En F-Droid wil eigenlijk alleen maar open source hebben. Voor hen moet het gratis en open source. Nee, bedankt!
Maar het probleem met al die app stores is dat gebruikers dan door alle bomen het bos niet meer zien. Er zijn genoeg malafide appstores op het Internet te vinden waar je als gebruiker niet je apps vandaan wilt halen. Dus al die andere appstores zijn leuk, maar in principe onbetrouwbaar. Om de risico's voor gebruikers te reduceren is het beter om een minimaal aantal appstores te gebruiken, hoewel overheden natuurlijk altijd hun eigen appstores kunnen maken. (Maar ja, is de overheid daar wel betrouwbaar genoeg voor?)
Gewoon een paar signed APKtjes op een met TLS beschermde website van de rijksoverheid zetten. Je hebt helemaal geen alternatieve app store nodig.
Bovendien gaat het ook om aantallen. Enorm veel mensen hebben nu eenmaal een iPhone of Android telefoon met daarop de standaard software.
Niemand zegt dat de overheid deze apps niet in de App Store en Play Store mag publiceren.
Bij Android vaak ook nog met extra rotzooi van de fabrikant en bij beiden ook vaak rotzooi van de provider. Plus de troep die je als gebruiker erbij installeert. Er zijn maar weinig mensen die totale controle over hun toestel hebben, simpelweg omdat het voor de meesten veel te moeilijk is. De meesten zijn immers geen ervaren ICTers die het verschil weten tussen megabit en megahertz. (En als ik "baud rate" zeg dan zullen veel ICTers mij ook verbaast aankijken...)
Dit zijn allemaal drogredenen. Je hoeft helemaal geen totale controle over je toestel te hebben. Je hoeft geen ITer te zijn om niet uit de Play Store te willen downloaden. Je hoeft niet consistent te zijn op het gebied van privacy. De overheid moet gewoon het goede voorbeeld geven.
Als overheid moet je nu eenmaal uitgaan van dat de meeste burgers gewoon dom zijn. De helft van de Nederlandse bevolking heeft immers een beneden-gemiddelde intelligentie! (Doordenken voor je daar op reageert!) Wij allen op deze site zijn slim maar er zijn genoeg mensen die veel gewoon niet snappen. En een app van de overheid moet toch door ten minste 95% van de bevolking gebruikt kunnen worden.
En voor die mensen zijn er dus de App Store en de Play Store. Nogmaals, niemand zegt dat de overheid deze apps niet in de App Store en Play Store mag publiceren.
(Voor alle duidelijk, da's iedereen met een IQ van 70 en hoger.) Als je die mensen dan ook nog in de war gaat brengen doordat je app op 20 verschillende appstores beschikbaar is,
Dit is een stropopredenering. Niemand zegt dat die apps in twintig verschillende apps stores moeten komen te staan. Het enige wat men vraagt is om een alternatief, niet om twintig alternatieven. En dat alternatief kan zelfs zonder app store.
10-05-2021, 19:44 door karma4
Door Wim ten Brink: De helft van de Nederlandse bevolking heeft immers een beneden-gemiddelde intelligentie! (Doordenken voor je daar op reageert!) .
Een gemiddelde is niet hetzelfde als de mediaan als zal in het in dit geval vermoedelijk weinig uitmaken.
Doordenken gaat verder dan enkel een bewering doen.
10-05-2021, 20:29 door Anoniem
Was het niet mogelijk om naast een DigiD App (software), ook een hardware generator uit te leveren?

Bijvoorbeeld, bij de Rabobank was er al jaren geleden een reader van de pas voor validatie.

Onze overheid heeft wel iets meer klanten te bedienen (nationaal) dan de Rabobank. Waarom kan de Rabobank dit wel en onze ICT jongens bij Logius dat niet?
11-05-2021, 09:35 door Anoniem
Door Wim ten Brink: Tja, klinkt leuk maar als die alternatieve stores toegang wil tot de broncode dan begrijp ik waarom die niet gekozen zullen worden. En F-Droid klinkt leuk, maar ze kunnen mij niet dwingen om mijn project als open source te publiceren. En F-Droid wil eigenlijk alleen maar open source hebben. Voor hen moet het gratis en open source. Nee, bedankt!
Je moet een onderscheid maken tussen F-Droid de app en F-Droid de centrale repository. Het is goed mogelijk om een eigen repository aan te bieden met closed source apps. Vergelijkbaar met een APK op de website publiceren, alleen dan met de mogelijkheid updates aan te bieden.
11-05-2021, 10:30 door Anoniem
Door Wim ten Brink: Tja, klinkt leuk maar als die alternatieve stores toegang wil tot de broncode dan begrijp ik waarom die niet gekozen zullen worden. En F-Droid klinkt leuk, maar ze kunnen mij niet dwingen om mijn project als open source te publiceren. En F-Droid wil eigenlijk alleen maar open source hebben. Voor hen moet het gratis en open source. Nee, bedankt!
Het gaat hier om apps van de overheid. Er is veel voor te zeggen om die wel open source te maken, nog los van het punt over de koppeling met accounts bij Google en Apple.
Maar het probleem met al die app stores is dat gebruikers dan door alle bomen het bos niet meer zien. Er zijn genoeg malafide appstores op het Internet te vinden waar je als gebruiker niet je apps vandaan wilt halen. Dus al die andere appstores zijn leuk, maar in principe onbetrouwbaar. Om de risico's voor gebruikers te reduceren is het beter om een minimaal aantal appstores te gebruiken, hoewel overheden natuurlijk altijd hun eigen appstores kunnen maken. (Maar ja, is de overheid daar wel betrouwbaar genoeg voor?)
Het gebruiken van alternatieve app-stores of het aanbieden van APK's sluit helemaal het gebruik van de app-stores van Google en Apple niet uit. Mensen die die app-stores al gebruiken kunnen de apps gewoon installeren op de manier die ze al gewend zijn. Die mensen zijn vermoedelijk al klaar voor ze zelfs maar voor hun verwarrende informatie over andere app-stores tegenkomen.

Bovendien gaat het ook om aantallen. Enorm veel mensen hebben nu eenmaal een iPhone of Android telefoon met daarop de standaard software.
Bij de overheid gaat het niet om marktaandeel maar om het bereiken en faciliteren van alle burgers.

Behalve een oplossing voor mensen die geen computers gebruiken (dus ouderwets op papier) vind ik daarom dat de basis voor computergebruikers altijd een generieke oplossing moet zijn die op alle computerplatforms werkt. Iedereen die een website kan bezoeken moet op overheidswebsites terecht kunnen, ook de sites waarop je met DigiD aanlogt. Dan klopt het niet dat de overheid zich primair op smartphones richt, die moet zich primair richten breed ondersteunde standaards en op een 2FA-middel dat onafhankelijk van welk platform dan ook werkt. Zoiets als een Rabo- of ING-scanner zou voor mensen zonder visuele beperkingen ideaal zijn. Verschillende banken hebben voor mensen met een visuele beperking dingen als sprekende digipassen. Ik zie geen enkele reden waarom de overheid dit soort oplossingen niet zou kunnen inzetten.

Zo'n 20 jaar geleden kwam het belastingaangifteprogramma ook voor de kleine groep Linuxgebruikers beschikbaar, wat de grootste groep computergebruikers was die niet een van de platforms met een groot marktaandeel gebruikte. Later is men overgestapt op een webinterface, zodat het helemaal onafhankelijk van een besturingssysteem werd en alle computergebruikers ondersteund werden. Nu introduceert men toch weer afhankelijkheden van besturingssystemen. Ik zie dit als een bedenkelijke stap achteruit.
11-05-2021, 10:31 door Anoniem
Door Anoniem: Hebben deze mensen nou niets beters te doen.. Alleen maar zeiken tegen de overheid verder niets..Puke
Wederom zo een dwingeland argument. De mens is vrij te doen en laten wat hij wilt, dat is het eerste principe.
11-05-2021, 11:34 door Anoniem
Dat bij het gebruik van een app IOS of Android wordt gebruikt vind ik wel begrijpelijk gezien de dekking van deze twee platforms.

Wat ik veel schrijnender vind is dat je tegenwoordig gedwongen wordt naar een smartphone die je overal volgt. Mensen die geen gebruik maken van een smartphone worden steeds verder buiten gesloten in de samenleving door de overheid. Zo wordt je nu gedwongen om te wachten op het 'coronapaspoort' om te kunnen reizen die moet worden geïnstalleerd op een smartphone terwijl er vele mensen de vaccinatie gewoon in het analoge vaccinatieboekje willen hebben dat internationaal wordt erkend. Diverse GGD's weigeren echter het coronavaccin bij te schrijven.......
11-05-2021, 11:48 door Anoniem
Hebben deze mensen nou niets beters te doen.. Alleen maar zeiken tegen de overheid verder niets..Puke
Onjuiste misleidende conclusie:
het is een feit -geen mening- inclusief argumenten, met daarop geen goed antwoord...
Verder is "niks beters te doen" insuerent en suggestief.
12-05-2021, 00:22 door Hyper
Ze hebben een punt, maar er zijn nog wel alternatieven voor de apps:

DigID: Werkt ook in een browser op een Windows/Linux PC.
Corona testbewijs: Kan ook op papier: https://coronacheck.nl/nl/print/
Vaccinatiepaspoort: EU denkt hierover. Gaat er waarschijnlijk komen met een smartphone app en een fysieke QR code. Bijvoorbeeld op papier of op een kaart.
12-05-2021, 20:35 door Anoniem
Uit het oogpunt van de Algemene verordening gegevensbescherming (AVG) is het problematisch dat de overheid een openbaar app alleen via Google of Apple aanbiedt.

Het distributie van de app wordt dus uitbesteed aan een derde partij en volgens de AVG moeten alleen persoons-gegevens gebruikt worden die echt noodzakelijk zijn.

'de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is'

Om een gratis app te kunnen downloaden zijn geen enkel persoons-gegevens noodzakelijk. Een simpele (beveiligde) download link is al voldoende.

Om de app via Google te kunnen downloaden moet een account aangemaakt worden waarbij naam, email, geboorte datum, telefoon nummer gevraagd wordt. Allemaal onnodig in deze geval.

De overheid moet in deze geval gedwongen een alternatief aanbieden waardoor burgers niet onnodig hun persoons-gegevens met een derde partij verplicht moeten delen.
14-05-2021, 11:19 door Anoniem
Het maakt allemaal toch niets uit als bijna alle smartphones die in Nederland worden gebruikt van Apple of Google zijn.
Stel je distribueert de app vanaf een ander platform dan Apple of Google, dan komt die app ten slotte in verreweg de meeste gevallen toch weer op een Apple of Google smartphone terecht.
Ik zie daar geen wezenlijk verschil in.
Als Google of Apple wil weten welke apps jij op je smartphone hebt, en uit welke execute-code ze bestaan,
dan kunnen ze daar vast wel achter komen.

"Idioot" is wanneer het de enige optie is om een smartphone te gebruiken, maar vooralsnog is hier geen sprake van:
je kan altijd nog met je PC d.m.v. DigiD inloggen met wachtwoord en code op je mobiel.

Ouderwetse mobieltjes gaan er overigens wel uit, want het protocol waar ze mee werken (2G) zal steeds verder uitfaseren. Maar binnenkort wordt inloggen met je ID-bewijs mogelijk, en zal een mobieltje als "tweede factor" voor het inloggen naar verwachting niet meer nodig zijn.
14-05-2021, 12:04 door majortom - Bijgewerkt: 14-05-2021, 12:04
Door Anoniem:
"Idioot" is wanneer het de enige optie is om een smartphone te gebruiken, maar vooralsnog is hier geen sprake van:
je kan altijd nog met je PC d.m.v. DigiD inloggen met wachtwoord en code op je mobiel.
Die SMS op de mobiel gaat binnenkort verdwijnen, dus die optie vervalt op termijn.

Ouderwetse mobieltjes gaan er overigens wel uit, want het protocol waar ze mee werken (2G) zal steeds verder uitfaseren. Maar binnenkort wordt inloggen met je ID-bewijs mogelijk, en zal een mobieltje als "tweede factor" voor het inloggen naar verwachting niet meer nodig zijn.
Even iets betere nuancering. Inloggen met een ID bewijs kan alleen met ID bewijzen die vanaf dit jaar zijn uitgegeven, Voordat iedereen zijn ID heeft vervangen ben je 10 jaar verder.

Ook kan inloggen met je rijbewijs. Maar alleen met rijbewijzen die na medio 2018 zijn uitgegeven. Dus dat duurt ook nog een jaar of 8 voordat iedereen die vervangen heeft en die mogelijkheid heeft.

Inloggen met je paspoort kan niet. Dus mensen zonder ID en rijbewijs, die alleen een paspoort als identificatiemiddel hebben hebben geen alternatief dan de smartphone, ook niet na 10 jaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.