Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

43 reacties

  1. De technische kwaliteit van Google, Facebook en Microsoft betwijfel ik niet. Maar door de koppeling verschaf je ze wel waardevolle informatie. Ze weten dan dat je kinderen hebt die naar de opvang gaan. Mogen ze die info gebruiken? Kan die info, zie de Facebook schandalen, met derden gedeeld worden of naar derden lekken? Ik snap de zorg wel.

    1. En in aanvulling op Merien: Het betreft hier gegevens van minderjarigen. Als kinderen tijdens de opvang ziek worden, dan betreft dit (hoe oppervlakkig de melding ook): gegevens uit de speciale categorie. persoonsgegevens. MFA lijkt mij dan geen overbodige luxe. Als ouder kun je dit bij deze ID-providers zelf instellen, maar de verantwoordelijkheid voor deugdelijke informatiebeveiliging ligt bij de kinderopvang, als de aanbieder van de informatie en als meest volwassen partij. De kinderopvang zou daarom MFA moeten afdwingen. En daar wringt de schoen. Volgens mij kunnen ze dit niet via de interfaces met Facebook, Google en Microsoft.

  2. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen.

    Hiermee zit ik vooral in mijn maag. Je kunt namelijk stellen dat weten wanneer je kind slaapt op de kinderopvang niet echt noodzakelijk is, en vroeger ook niet kon (behalve dan door het te vragen bij ophalen, maar dat kan nog steeds lijkt me). Als BitCare echter de enige manier is om vakanties, ziekte, enzovoorts door te geven, wordt het een probleem. Hetzelfde geldt voor als ze je verplichten om bij BitCare te gaan om van de dagopvang gebruik te mogen maken. Ikzelf maak geen gebruik van dagopvang, dus ik weet het niet precies, maar volgens mij is er schaarste op de markt en moet je al blij zijn als je een plekje in de buurt hebt. Extra voorwaarden zijn dan niet echt meer optioneel (je kunt niet meer stellen “dan ga je maar naar een ander”).

    Het kan natuurlijk dat dit alleen een extra service is, en dan is er niets aan de hand, maar het lijkt me niet goed als BitCare wordt afgedwongen om gebruik te maken van de dagopvang, of om belangrijke veranderingen door te geven.

  3. “In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.” Dat klopt natuurlijk niet. Ze weten welke naam je bij Google, Microsoft of Facebook gebruikt. Daar zit geen betrouwbare identiteitscontrole achter, dus je weet helemaal niets. Het lijkt mij dat Bitcare en de organisaties die daar gebruik van maken er zelf voor moeten zorgen dat de digitale identiteit de juiste is. Dat moet wel geregeld zijn, anders voorzie ik scenario’s waarin het heel eenvoudig blijkt om met een beetje social engineering bij de gegevens van een gericht gekozen kind te komen. Daarnaast is het natuurlijk de vraag of het door de beugel kan om mensen, die er bewust voor kiezen zo weinig mogelijk van zichzelf aan partijen als Google en Facebook te geven, te dwingen dat toch te doen. Een meer privacyvriendelijke werkwijze lijkt me dan toch geruststellend. Zeker van dit soort dienstverlening.

    1. Daar zit geen betrouwbare identiteitscontrole achter, dus je weet helemaal niets.

      Dat hebben ze misschien wat verwarrend geformuleerd, maar het is ook helemaal niet aan de orde. Bij aansluiten bij Bitcare krijg jij als ouder via de opvang (zo heb ik het begrepen…) een uitnodiging om een account op te geven waarmee je voortaan kan inloggen. Zo gauw dat is gebeurd is de zaak helder: jij beheert als ouder blijkbaar dat opgegeven account (Google of Facebook) en als iemand dus met dat account inlogt is het dus de ouder. Veel meer dan dat kan je niet doen…

  4. Wat doe je met ouders die geen van de 3 diensten een account hebben? En kun je ouders verplichten een dienst van een 3e partij af te nemen? Ik zou dit zeer apart vinden, ik heb immers een relatie met de kinderopvang en niet met een 3e partij.

    1. Het afnemen van de dienst (via) Bitcare voor inzage in activiteiten/foto’s en online dagen kunnen ruilen is een dienst richting ouders. zolang je niet verplicht bent dit af te nemen (en dus gewoon met belletje naar de opvang dagen kunt ruilen en helaas dan maar geen leuke foto’s van kinderen/activiteiten) is het dus een afweging die je zelf moet maken.

  5. Ik moet dus even lachen, want hoe kan je garanderen, dat ik bij google, vleesboek of microsoft WEL mijn ware identiteit heb opgegeven. Geen van de drie vraagt om het overleggen van een ID, vertrouwd er op, dat je so netjes bent en je aan de door hun gestelde regels houdt en je echte naam opgeeft. En wat gebeurd er, als dhr Suikerberg of zijn personeel beslist, dat ze je niet langer op hun sites willen hebben? Gewoon omdat je feiten tegenover propaganda zet? Kan je dan ook niet meer bij je bitcare? Moeten je kinderen dan ook van het dagverblijf af? Nog iets, maar dat heeft niets met IT te maken. Het is wel leuk ouders alles te vertellen, maar moet dat echt? Generaties van mensen zijn groot geworden zonder dat hun ouders alles wisten, en dat was ook goed zo. Ouders die wat willen weten kunnen vragen, bij goed personeel krijgen ze dan ook een antwoord. En als laatste, ook weer niets met IT te doen hebbend: Ben je als personeel bezig met de kinderen of bezig met de invoer van data? Nee, mijn kind zou niet op dit dagverblijf komen, want ik heb behoorlijke twijfel aan de pedagogische kwaliteit van de opvang aldaar.

    1. Het gaat hier niet om identificatie (vaststellen WIE je bent) maar om authentificatie (vaststellen dat je inderdaad de eigenaar bent van pappa-olav-bitcare@gmail.com, die bij bitcare bekend is als wettelijke vertegenwoordiger van Olav Jr.). Het kinderdagverblijf koppelt een goolge/facebook/microsoft account aan de gegevens over het kind waar ze op passen. Welk account dat is zal ze een rotzorg zijn, als het maar een account van de wettelijk vertegenwoordiger van het kind is.

      Google/facebook/microsoft hopen natuurlijk dat je voor al dit soort dingen een account gebruikt, en dan kunnen ze lekker data-minen.

      Maar behalve gebruiksgemak staat niets je in de weg voor iedere uitbestede login een apart account te maken. Dat google dan alsnog gaat dataminen omdat je meerdere accounts van dezelfde computer gebruikt (ondanks NoScript, private browsing, Ghostery etc) dat is iets waart BitCare denk ik niet verantwoordelijke voor gehouden kan worden.

      1. Er lopen in dit verhaal 2 zaken door elkaar waar de AVG betrekking op heeft: * de bescherming van de (inlog)gegevens van de pappa/mama. Ik denk dat je er van uit kan gaan dat dat door Google et al inderdaad beter voor elkaar is dan wanneer de dienst dat zelf zou doen. Wel is het feit dat Google hier metadata uit kan opmaken kwalijk, en ik ben benieuwd of de dienstleverancier een verwerkersovereenkomst heeft met Google. Google levert data aan de dienstverlener en daarmee is de dienstverlener m.i. wel degelijk verantwoordelijk voor het gedrag van de toeleverancier. Verder valt me op dat de data die feitelijk beschermd moet worden als onderdeel van deze dienst (fotos van kinderen) vergelijkbaar, zo niet beter, beschermd zou moeten worden dan de logindata. Als je toch al een secure platform hebt voor de foto’s is dat lijkt me niet een enorme effort de login data ook zelf te hosten. * Toegang tot de foto’s zelf dient afdoende afgeschermd te zijn. AVG vraagt om afdoende technische maatregelen voor het beschermen van persoonsgegevens, en zeker in dit geval omdat het om foto’s van kinderen gaat. Toegang dient in dit geval beperkt te zijn tot de ouders van de kinderen, dat is zelfs de propositie van de dienst. Daarbij lijkt het gebrek aan identificatie me wel een flink probleem: bij gebruik van Google etc accounts (en eigenlijk zelfs email in het algemeen) is het gewoon niet vast te stellen of het rechtmatige toegang tot de foto’s betreft.Het enige wat je weet is dat er iemand is met toegang tot het betreffende Google account. Ik zie niet in hoe deze dienst kan garanderen dat degenen die toegang hebben tot de foto’s ook daadwerkelijk de relevante ouders zijn. En daarmee lijkt me dat de dienst niet alleen faalt in haar eigen doel, maar daarbij ook nog eens tegen de principes van de AVG in gaat.

  6. Ik heb hier bezwaar tegen, maar om wat meer filosofische reden. Je wordt op deze manier gedwongen om bij deze drie partijen een identity aan te maken. Dat vind ik een nogal beperkende keuze. Ik zou veel liever zien dat je bijvoorbeeld mag kiezen tussen een willekeurige OAuth2 of OpenID provider, zoals een van deze drie (om het makkelijk te maken voor de meeste mensen). Reden is dat ik dan een identity provider kan kiezen die bijvoorbeeld werkt met een hardware key in plaats van simpel wachtwoord en 2FA op basis van SMS of TOTP. Door dit zo te beperken heb je deze keuze niet.

    Arnoud heeft natuurlijk helemaal gelijk als hij zegt dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider klopt natuurlijk. Maar om nou te zeggen dat het veel beter is: nou nee. Misschien technisch wel, maar wat betreft support of innovatie is het geen verbetering, En ik ben bang dat als bedrijven denken dat het op deze manier uitbesteden goed genoeg is, we echt vaarwel kunnen zeggen tegen het innovatieve karakter die het Internet ooit had.

    1. Inderdaad. Bovendien is het toch je eigen keus als je iets minder veiligs kiest? Want wat is het volgende: “nee, u mag daar niet parkeren want er worden steeds auto’s bekrast op die parkeerplaats”? Of: “u mag geen boodschappen meer doen bij de Dirk aan het eind van uw straat omdat er veel zakkenrollers actief zijn”? Dat bepaal ik allemaal zelf wel, dus bepaal ik ook of ik minder veilig wil inloggen (of juist veiliger, zoals jij ook aangeeft met je hardware-sleutels).

  7. De duitse toezichthouder denkt hier toch anders over: https://www.security.nl/posting/594076/%22Duitse+toezichthouder+gaat+dataverzameling+Facebook+aanpakken%22

    Het gaat specifiek om gegevens die Facebook met externe partijen zoals Twitter, websites en apps uitwisselt, alsmede met de eigen dochterbedrijven waaronder WhatsApp en Instagram. Deze partijen maken gebruik van Like-knoppen en Facebook Login, waardoor Facebook gebruikersgegevens ontvangt die het weer aan het Facebookprofiel van de gebruiker kan koppelen. Ook worden op deze manier gegevens verzameld van mensen die geen gebruiker zijn.

    Facebook maakt op deze manier misbruik van haar positie om gegevens van mensen te verzamelen, zonder dat die hiervoor toestemming hebben gegeven of weten wat er precies met hun gegevens gebeurt, aldus de mededingsautoriteit.

  8. Dit blog slaat de plank helemaal mis, denk ik. De vraag van de lezer in kwestie wordt hier niet beantwoord. Het gaat er niet om of ze zich zorgen moet maken over wat Bitcare of de BSO met de data doet. Wat ze wil weten, is of je als aanbieder van een dienst je klanten mag ‘dwingen’ om een Facebook-, Google- of Microsoft-account aan te maken. Daar wordt hier niet op ingegaan.

    Schoenmaker blijf bij je leest. Ik lees met smaak je blogs over juridische kwesties en verwijs anderen regelmatig naar jou schrijfsels over auteursrecht en wat dies meer zij. Maar met de vraag of ik bang moet zijn voor ‘de grote datagraaiers’ ga ik graag naar andere experts. Daarvoor klop ik niet bij een jurist aan. De lezer in kwestie heeft klaarblijkelijk ook al haar licht elders opgestoken en ze heeft (kennelijk op goed advies van mensen die daar wél verstand van hebben) besloten dat ze ver weg wil blijven van Google, Facebook c.s.

    Nog los van het feit dat Facebook, Google c.s. op 1001 manieren te misleiden zijn waar het gaat om identificatie en het feit dat data in handen van dergelijke partijen regelmatig op grote schaal ‘weglekken’ (foto’s van jouw kinderen incluis), moet de klant (hier de BSO) zich afvragen wat nu eigenlijk de toegevoegde waarde is van Bitcare. Waar laat die partij zich nu precies voor betalen? Dat is mij een raadsel. Je zou verwachten dat zo’n dienst (ten minste) zélf een betrouwbare id-authenticatieservice zou bieden en alle data zélf veilig beheert. Elke BSO die gebruik maakt van een ‘flimsy’ service als die van Bitcare moet zich, als je het mij vraagt, diep schamen.

    Maar dan terug naar de vraag of service-aanbieders klanten mogen ‘dwingen’ dit soort diensten te gebruiken. Die blijft hier helaas onbeantwoord. Ik weet dat er uitspraken over zijn geweest in het verleden, maar daar houdt mijn kennis op. Ik meen te weten dat in Europa online diensten hierop (het reserveren van dienstverlening tot houders van sociale-media-accounts, als ik het goed heb begrepen) zijn teruggefloten door de rechter, maar ik heb geen idee of die uitspraken hier, op deze specifieke situatie, van toepassing zijn. Die vraag zou ik heel graag beantwoord zien. In de revanche dus want dit is ongetwijfeld een vraag die jij wél op een bevredigende manier kunt beantwoorden Arnoud …. 🙂

    1. Ik denk dat in de basis het antwoord heel simpel is: ja. Waarom zou dat niet mogen? Als je dat per se niet wil, kies je toch voor een andere kinderopvang. Of maak je geen gebruik van deze extra service… Wat een overvloed aan informatie allemaal… Persoonlijk zou ik ongeacht authenticatiewijze een kinderopvang die zo werkt sowieso links laten liggen.

      De wet Kindercentra vereist, denk ik, wel toestemming van de ouderraad voor dit soort dingen. Maar als die er is… Dan blijft voldoen aan de AVG over.

      1. “Als je dat per se niet wil, kies je toch voor een andere kinderopvang.”

        Dat is leuk gezegd, maar er is een schrijnend tekort aan plaatsen op kinderopvangcentra, dus zó makkelijk is het niet om maar voor een andere te kiezen; vaak heb je geen keus.

    1. Dat mag niet want werkt met BSN en daar mag een kinderdag verblijf niets mee doen. https://www.digid.nl/nl/vraag-en-antwoord/wat-is-digid/ Wat is DigiD? DigiD staat voor Digitale identiteit. Met uw DigiD kunt u inloggen op websites van de overheid en in de zorg.

      Als u inlogt met uw DigiD, stuurt DigiD uw burgerservicenummer ( BSN ) door aan de website van de organisatie waar u inlogt. Alleen organisaties die gerechtigd zijn het BSN te gebruiken mogen van DigiD gebruikmaken. Zo weten organisaties wie u bent.

  9. De reacties op het artikel gaan alleen over de (beperkte) vraagstelling in het artikel: mag bitcare een identitydienst van derden gebruiken om identiteit van gebruiker vast te stellen? Zoals in het artikel staat is dat wijs als hij technisch goed is. Daarbij hoort ook dat de klant / de verantwoordelijke zijn geïnformeerd over de inhoud van die dienst. Wat zij dan ook doen is hun gebruikers informeren. Na zesentwintig pagina algemene voorwaarden en vijf pagina’s privacybeleid zijn mijn zorgen verder toegenomen met name op het gebied van privacy en aansprakelijkheid. Bitcare gebruikt namelijk op basis van de standaard voorwaarden ook Google voor andere diensten binnen de applicatie. Dat mag je concluderen op basis van een link in hun voorwaarden. (Die heb ik niet inhoudelijk gelezen). Recent hebben Tubantia en AD op een rijtje gezet dat bij Google een verbetering nodig is. D66 heeft het onderwerp naar aanleiding daarvan ook in de kamer aan de orde gesteld. Zoals bij meer bedrijven is de aansprakelijkheid sterk beperkt. Het zou bitcare als bedrijf en leverancier sieren als ze meer dan nu duidelijk en compact melden wat voor gebruikers relevant is. Het zijn en blijven gegevens van kinderen die een speciale bescherming verdienen! Dat gaat pas echt goed werken als ze de leverancier de noodzaak gaat voelen om de dienst aan te passen omdat hij anders niet wordt gebruikt vanwege privacy concerns. Werk aan de winkel van klanten en privacy voorvechters.

  10. Los van hoe we denken over de mentaliteit van de grote Tech bedrijven, scheppen we op deze manier een infrastructuur waarbij het vrijwel onmogelijk is ons nog los te koppelen van hun diensten. Een heel aardige reeks artikelen hierover kun je vinden op Gizmodo, waarin de auteur eerst een voor een en daarna allemaal tegelijkertijd Amazon, Facebook, Google, Microsoft en Apple uit te sluiten van haar leven.

    Het gedecentraliseerde karakter van het Internet gaat steeds verder kapot, en daar zie je grote bedrijven en overheden steeds meer misbruik van maken.

  11. Wel, nadat ik pas bericht heb ontvangen dat nu de database van 500px met daarin alle accountgegevens is gestolen lijkt het mij een vrij goed idee om alleen echt betrouwbare identity providers te gebruiken. Maar ja, welke zijn echt betrouwbaar? En daarnaast, zijn de grotere providers niet meteen ook grotere doelwitten?

    Maar ik heb ondertussen al veel bedrijven gezien die data hebben gelekt. Adobe, GeekedIn, GeekedIn, LinkedIn, KickStarter, Patreon, Disqus, Tumblr, Neopets en nog een paar bedrijven hebben een email alias van mij gelekt. Dus ik ben wel een voorstander van betrouwbare providers die ook 2-factor authenticatie mogelijk maken.

    Maar 2FA is tegenwoordig vrij eenvoudig te implementeren en kan dus door iedere website gebruikt worden. Idem voor het gebruik van HTTPS/SSL wat BitCare gelukkig gebruikt. Dus ze zouden daar wel gebruik van kunnen maken…

    Ik zou toch wel graag zien dat BitCare naast deze providers ook een eigen account aanbiedt met 2FA erbij. Gewoon om het volledig te maken. Want ik vraag mij af hoe zwaar beveiligd de gegevens van BitCare moeten zijn. Ja, het gaat om persoonsgegevens dus er moet een goede beveiliging zijn. Maar hoe goed, exact?

    1. Maar dat beantwoordt nog steeds niet de vraag of het MAG, wat Bitcare doet. Dat is namelijk de vraag die aan Arnoud is gesteld en waar hij op reageert. Ik vindt het reuze-interessant om te weten of een leverancier gebruikers mag ‘dwingen’ om een account aan te maken bij Google, Facebook c.s.

      1. Arnoud geeft al aan dat het mag en daar ben ik het mee eens.

        En is er sprake van dwang? Het gaat om Facebook, Google of Microsoft. Dat zijn wel de drie grootsten. Google is voor velen in gebruik als GMail en veel mensen met een Windows 10 computer zullen ook al een Windows account hebben. Facebook is eigenlijk ook niet weg te denken bij velen en zeker bij ouders die met andere ouders en familie graag contact willen houden.

        Maar deze site is vooral ook bedoeld voor de kinderdagverblijven zelf en als je werkgever zegt dat je een Google-account moet hebben om ermee te kunnen werken dan doe je dat gewoon. Maar die account gebruik je dan alleen voor werk. Idem als je een Facebook account moet hebben voor je baas. En dat betekent dat het eigenlijk alleen de ouders kunnen zijn die er niet omheen lijken te kunnen…

        En weet je wat opvallend is? Gebruikers hebben een mobiele telefoon nodig om de app te kunnen gebruiken. Als dat een Android telefoon is dan heb je waarschijnlijk ook al een Google account. Die is immers nodig voor registratie. Alleen met een iPhone kom je er onder uit. Eentje zonder WhatsApp, want dat is weer Facebook…

        Maar ik heb even naar hun vacatures gekeken om te zien waarin ze alles bouwen. En ze maken gebruik van de Google Cloud, wat een uitdaging kan zijn. GDPR/AVG? Waar worden de gegevens uiteindelijk opgeslagen?

        1. “En weet je wat opvallend is? Gebruikers hebben een mobiele telefoon nodig om de app te kunnen gebruiken. Als dat een Android telefoon is dan heb je waarschijnlijk ook al een Google account. Die is immers nodig voor registratie.”

          Dat is niet helemaal waar. Feit is dat de meeste ouders gewoon maar zullen inloggen op hun Android-telefoon, maar in feite is dat helemaal niet nodig: je kunt je Android-telefoon ook zonder Google-account gebruiken. Alleen is dat iets omslachtiger en minder praktisch, dus velen zullen dat, zoals ik al aangaf, niet doen. Maar neemt niet weg dat je statement dus niet klopt, want het kán wel zonder.

          1. Volgens mij, als je geen Google account hebt op Android, zal je systeem geen extra software kunnen installeren en krijg je ook geen updates. En mogelijk kunnen bepaalde merken mobiele telefoons het zelfs verplichten om een Google account te nemen. Samsung levert best veel extra software mee met hun telefoon die je er bijna niet vanaf krijgt en die vaak ook om een account zeuren.

            Ja, het moet mogelijk zijn om met veel pijn en moeite zonder een Google account een Android mobieltje te gebruiken maar dan is deze niet volledig functioneel.

            1. “Volgens mij, als je geen Google account hebt op Android, zal je systeem geen extra software kunnen installeren en krijg je ook geen updates.”

              Misschien krijg je op Pixel-apparaten geen systeemupdates, maar op andere apparaten wel. En extra software kun je dan inderdaad niet installeren via de Play Store, maar wel via alternatieve appwinkels, zoals APKPure, 1Mobile, F-Droid, etc. of anders via de website van APKMirror. APKPure bevat de meeste software (zeker de populaire) uit de Play Store, dus daar kom je een heel eind mee en anders nog 1Mobile die ook wat meer Nederlandse apps bevat. En je krijgt gewoon meldingen van updates (behalve bij APKMirror dan).

              Dus zo “pijnlijk en moeilijk” is het niet en je apparaat is dan gewoon functioneel, alleen is het, zoals ik al aangaf, niet zo dat iedereen dat zal doen. De meesten zullen Google gewoon slikken, maar dat geldt zo goed voor het BitCare-gebeuren dat we eigenlijk aan het bespreken waren.

    2. “Dus ik ben wel een voorstander van betrouwbare providers die ook 2-factor authenticatie mogelijk maken.”

      Tumblr en Patreon bieden ook heel lang 2FA. Ik maak er op Patreon dan ook gebruik van. Dus 2FA staat los van het al dan niet lekken van je e-mailalias.

      1. Desondanks hebben zowel Tumblr als Patreon ook de nodige datalekken gehad. Die 2FA kan dan een extra gevaar opleveren indien ze daarvoor je mobiele nummer nodig hebben voor een SMS bericht. De site haveibeenpwned.com meldt dat Patreon dit in october 2015 lekte. Tumblr en Adobe lekten mijn adres in 2013, LinkedIn in 2016 en Disqus in 2017. En onlangs 500px… Dit zijn dus allen sites die ik niet als betrouwbaar durf te benoemen. Net als de andere sites op deze lijst: Pwned websites

        Maar gelukkig gebruik ik per site een andere alias en als een site wordt gehackt verander ik direct mijn alias. Daarnaast heb ik enorm veel twijfels over sites die 2FA toepassen waarbij ik mijn mobiele nummer moet doorgeven omdat dan ook dat nummer in handen van hackers kan vallen. En het gaat mij er ook om dat mijn email adres en telefoonnummer geheim blijven… Dat beperkt de mogelijkheden behoorlijk. Dus providers die geen extra informatie vragen vind ik het beste…

        Als je websites ontwikkeld in .NET Core dan kun je vanzelf 2FA toevoegen aan je inlogprocedures. Daarvoor heb je een app nodig op je mobiel die een QR-Code kan scannen. Dat lijkt goed te werken zonder de noodzaak je mobiele nummer door te geven…

        1. Dus omdat een website ooit is gehackt vertrouw jij hem nooit meer?

          Facebook, Google, Microsoft, enz zijn ook gehackt hoor. Sterker nog, de advisories komen soms voorbij op bijv Hacker News (onlangs nog eentje over Facebook). Verschil is die hebben een responsible disclosure met een bounty waardoor het netjes gemeld wordt (dat plus ze houden de blackhats makkelijker buiten omdat ze er meer geld aan besteden). Als klein bedrijf (Patreon was nog niet zo lang de lucht in toen ze werden gehackt) kun je daar moeilijk tegenop concurreren.

  12. Ben ik nou gek? Waarom geeft dat kinderdagverblijf niet bij aanmelding aan iedere ouder persoonlijk een set inloggegevens? Desnoods op vertoon van ID maar dat lijkt me en beetje overbodig aangezien je je ook niet hoeft te identificeren om je kind mee naar huis te nemen. Ik zie de toegevoegde waarde van bitcare niet.

    1. Die waarde is er ook niet helemaal voor ouders maar voor de kinderdagverblijven zelf. Bitcare is vooral bedoeld voor hun interne administratie en dat ouders kunnen meekijken is een extra feature.

      Maar identificatie blijft belangrijk wegens het privacy-aspect. Maar om te voorkomen dat Bitcare straks 50,000 accounts van ouders bevat en dus interessant wordt voor hackers is het dus beter dat Bitcare geen gebruikersnamen en wachtwoorden bevat. Dan is hun gebruikers-database ook meteen niet meer interessant omdat hackers het vooral op de accounts met wachtwoorden hebben gemunt en niet hoeveel luiers ieder kind heeft verbruikt.

  13. We hebben allemaal een DigID. Koppel daar een email adres aan, zodat je geen belangrijke zaken over een buitenlandse provider hoeft te doen. Spam en ongewenste commerciele troep kan rechtstreeks worden gemeld aan een relevante overheidsinstantie, die de tanden kan laten zien. Bovendien kan met het email adres toegang worden verkregen tot een VPN: je persoonlijke IP niet meer in allerlei databases en de privavygezondheid van de NL samenleving krijgt een enorme boost.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.