Hoe kan ik nou inloggen op DigiD met sms zonder mobiele telefoon?

| AE 6743 | Security | 63 reacties

mobieltje-sms-bellen-06.pngEen lezer ontving een mail van zijn verzekeraar met deze strekking:

Vanaf 1 juli 2014 wijzigt het inloggen op Mijn De Friesland. Vanaf dan kunt u alleen nog inloggen met DigiD + extra controlestap via sms. Deze wettelijke wijziging zorgt ervoor dat uw persoonsgegevens nog beter beveiligd zijn.

Dat “wettelijke wijziging” intrigeert mij dan als eerste. Waar staat in de wet dat er sms-verificatie moet gebeuren als mensen inloggen met DigiD? Nergens, althans niet letterlijk.

Het gaat hier (natuurlijk) om de privacywet, de Wet bescherming persoonsgegevens. Die schrijft voor dat je “adequate” beveiliging van persoonsgegevens moet hanteren. Wat precies “adequaat” is, staat niet in de wet. Dat moet je zelf bepalen (en kunnen motiveren) op basis van dingen als het soort gegevens, het soort aanvallen en de impact van misbruik. Ook de stand der techniek, wat is er tegenwoordig normaal en gebruikelijk, weegt hierin mee.

Vandaag de dag is tweefactorauthenticatie een bekende techniek. Niet meer alléén een wachtwoord, alleen een biometrische code of een pasje maar minstens twee van die dingen. Het idee is dat een aanvaller niet allebei die dingen onder controle kan krijgen. In de context van DigiD kom je dan al snel uit bij een controle per sms. Je kunt mijn laptop hacken maar hoe onderschep je dan óók de smsen (sms’s? Ruud?) op mijn telefoon.

Voor de techniek valt dus wat te zeggen, alleen heeft deze lezer geen mobiele telefoon en die wil hij ook niet. Wat nu? Wie een oplossing weet, ik hoor het graag en verloot een boek.

Arnoud

Ik heb toestemming van DigiD! Maar wat moet ik daarmee?

| AE 2920 | Iusmentis, Ondernemingsvrijheid | 13 reacties

digid.pngHelemaal vergeten te melden: ik heb toestemming om het beeldmerk van DigiD te mogen tonen, dus bij deze –>

Eind november blogde ik over het product DigiD Machtigen, waarbij ik algemene voorwaarden aantrof die me nogal verbaasden. Allereerst überhaupt waarom horen er “algemene voorwaarden” bij een overheidsdienst?

En meer specifiek, waarom bepalen die algemene voorwaarden dat het een ieder “op welke wijze dan ook”, dus ook voor vrije nieuwsgaring, verbiedt een merk te gebruiken dat geen merk is?

Mijn gevoel zegt me dat hier een dienstverlener lekker proactief meedacht en een setje algemene voorwaarden bij elkaar copypastte, want ja een online dienst die moet algemene voorwaarden hebben. (Ja, zo komen ze echt ook bij ons binnen: “hebben jullie voorwaarden voor ons, mag heel generiek zijn maar gewoon dat ik gedekt ben”). Maar ja, krijg dat maar eens bewezen.

Wat mij helemaal specifiek van mijn stoel deed vallen, was dit artikel:

10.1 Het merk DigiD Machtigen mag zonder voorafgaande schriftelijke toestemming van het ministerie van BZK niet worden gebruikt op welke wijze dan ook.

Er ís alleen helemaal geen gedeponeerd merk “DigiD Machtigen”. Bij het Benelux Merkenregister weten ze van niets. Er is wel een merk “DigiD” (0762759) en het logo (0777710) is ook beschermd, maar dat is wat anders dan “het merk DigiD Machtigen”.

Puur omdat het kon, mailde ik de helpdesk met de vraag om toestemming. Dat duurde lang, maar na een keertje herinneren kreeg ik mét excuses een beleefde toestemming:

U heeft verzocht om toestemming voor het gebruik van het beeldmerk DigiD ten behoeve van uw juridische blog over de gebruiksvoorwaarden van DigiD Machtigen. Hierbij verleent Logius u toestemming om het beeldmerk DigiD voor bovengenoemd doeleinde te gebruiken.

Een kniesoor die erop gaat wijzen dat de voorwaarden over het merk “DigiD Machtigen” gingen en ik nu ineens toestemming voor het beeldmerk van DigiD als zodanig heb. Of dat Logius bij mijn weten geen bevoegd vertegenwoordiger is van de merkhouder (de Staat der Nederlanden, Ministerie van BZK, Projectdirectie GBO.Overheid).

Was dit nu nodig? Nee, natuurlijk niet. Er is geen enkele grond waarop een overheidsinstantie – of een overheidsautomatiseerder – een burger kan verbieden naam of logo van een overheidsorgaan te gebruiken bij een meningsuiting over dat orgaan. Geen enkele. Ook het merk niet. En daarom ergerde ik me er zo aan dat de voorwaarden dit zo categorisch verbieden. Ik snap werkelijk niet hoe de betrokken jurist dat kon opschrijven. Je chéckt dat soort dingen toch?

Arnoud

DigiD niet onrechtmatig jegens Digi-D

| AE 2319 | Ondernemingsvrijheid | 14 reacties

digi-d-niet-digid.pngNee, dit logo hiernaast is geen drie ton kostende herstyling van het overheidssysteem voor authenticatie van de burger. Dit is het logo van het bedrijf Digi-D, dat inderdaad regelmatig verward werd met het overheidssysteem. Maar die verwarring is geen handelsnaaminbreuk en ook niet op andere manieren onrechtmatig, zo vonniste de rechtbank Den Haag onlangs (via ITenRecht.nl).

Het bedrijf Digi-D was ouder met haar handelsnaam, en op grond van de normale regels zou je dan ook snel concluderen dat de overheid een andere naam moet kiezen. Maar nee: het DigiD-systeem wordt niet met enig winstoogmerk gerund, er is dus geen sprake van een onderneming en dan dus ook niet van een handelsnaam.

Merkenrecht dan? De Staat (nou ja, haar automatiseringsclub ICTU) had DigiD immers als Beneluxmerk vastgelegd (ook het logo). En een merk mag niet verwarrend veel lijken op een oudere handelsnaam.

Er is echter geen sprake van merkgebruik, oordeelt de rechtbank. De Staat exploiteert deze dienst niet commercieel, en je moet echt commercieel handelen voordat sprake is van merkgebruik. Een tikje merkwaardige conclusie: er zijn genoeg bedrijven die commerciële diensten gebaseerd op DigiD aanbieden. Maar goed, dat is niet op de zitting gemeld dus dan mag de rechtbank dat niet meewegen.

Ook volgens de algemene norm van “maatschappelijk onzorgvuldig handelen” gaat de Staat vrijuit. Na de eerste klachten zijn maatregelen genomen (o.a. een oekaze dat ambtenaren niet meer Digi-D mogen schrijven, ook niet in interne stukken) om herhaling te voorkomen. En er is 100.000 euro aangeboden als schikking aan het bedrijf. Maar die krijgen ze nu niet: omdat de Staat niets onrechtmatigs doet, moet het bedrijf de proceskosten betalen van totaal zo’n 8.000 euro.

Update (18 december 2013) ik lees bij Webwereld dat de Staat het bedrijf wil afkopen maar het bedrijf het bedrag ontoereikend vindt. Dat noemt de minister dan ‘inhalig’, een toch wat onparlementaire term wanneer je bedenkt dat de fout bij DigiD ligt en niet bij Digi-D.

Arnoud

ICTRecht Weblog » DigiD, een elektronische handtekening?

| AE 303 | Informatiemaatschappij, Security | Er zijn nog geen reacties

Digitale handtekeningen zijn rechtsgeldig, maar wanneer is iets een digitale handtekening? Steven Ras van ICTRecht pluist het uit voor de DigiD: DigiD dient als middel voor authenticatie. DigiD als zodanig bestaat uit een gebruikersnaam en wachtwoord. Het verzorgt alleen niet zelf de vasthechting aan- of logische associatie met andere elektronische gegevens. Daarom is het niet… Lees verder