[Openstandaarden] [OT] e-id (nog eens)

Stef Hoeben Hoeben.S at zetes.com
Wed Jun 15 21:11:35 CEST 2005 

Hallo Kristoff,

1 en 2: Klopt: je hebt geen PIN code nodig om de persoongegevens te 
lezen, dus als je je kaart
ergens insteekt heb je je naam, adres, leeftijd, geslacht, nationliteit, 
rijksregsiter nummer,
foto, ... weggegeven.

3: Er zijn nu een 4-tal pinpad lezers die de eID kaart ondersteunen, 
maar idd wel duurder dan 30 €...
(Persoonlijk lijkt het me belangrijker dat je PC goed beveiligd en 
virus-vrij is..)

4: In de certs steken, naast je naam, idd ook het rijksregister nummer 
(en indirect dus ook
je leeftijd en geslacht).

Als je bezorgt bent om je privacy, moet je je kaart dus nergens 
insteken. Dan heb je eigenlijk
hetzelfde als je huidige kartonnetje (eigenlijk iets minder omdat het 
adres niet op de platiek staat).
Dat lijkt me ook een betere bescherming dan af te zien van het gebruik 
van de certificaten,
waarvoor je trouwens toch je PIN nodig hebt.

Cheers,
Stef

Kristoff Bonne wrote:

Gegroet,


Het spijt me om even een redelijk "off topic" bericht te schrijven in 
dit forum, maar ik zou eens een klein vervolg willen schrijven op de 
discussie over de "e-id" kaart die hier in maart in de ML gevoerd is.
Indien iemand weet wat een beter forum is voor dit onderwerp, gelieve 
van het te laten weten.


Het is dat ik een 2-tal weken geleden de vraag gekregen heb om mijn 
"kartonen" identiteitskaart in-te-gaan wisselen voor een e-id kaart; dan 
ik de zaak nog eens goed beginnen bekijken heb.

Zijn de volgende (nog) feiten juist?
1/ Er is geen PIN-code nodig voor het raadplegen van de persoongegevens 
op de kaart. Dus ... steek de kaart in je PC en elk programma (dus ook 
eventuele spyware) kan onmiddelijk alle informatie uit de kaart halen.

2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook 
al zegt een chat-client "steek uw e-id in de computer om uw leeftijd te 
controleren"; dan is er niets die de computer tegenhoudt om de andere 
gegevens op de kaart ook te gaan lezen.

(Hangt eigenlijk samen met onderdeel 1 hierboven).

Als ik op de website van de overheid kijk, dan zie ik daar het volgende 
staan:  (http://eid.belgium.be/nl/navigation/documents/37074.html):
"De raadpleging van de identificatiegegevens op de elektronische 
identiteitskaart mag enkel gebeuren mits uitdrukkelijke toelating van de 
burger, behalve bij wettelijke of reglementaire verplichting. "

Dan lijkt me dit dan toch wel heel raar. Indien de informatie direct en 
onbeperkt leesbaar zijn; dan is er m.i. toch niet echt meer sprake van 
"uitdrukkelijk toelating van de burger". (of heb ik het mis).


3/ Inzake de PIN-code is men enkel veilig van "keyboard sniffing" indien 
men een kaartlezen heeft die een eigen toetsenbord heeft; maar de enige 
algemeen beschikbare lezer aan een "redelijke" (OK, 30 euro) prijs heeft 
die niet.
(Of zijn er andere goedkope kaartlezers beschikbaar? die wel over een 
eigen toetsenbord beschikken).


4/ Er  bestaat een mogelijkheid om de certificaten in de e-id te 
gebruiken in een mail-programma (o.a thunderbird) zoals nu het geval is 
met de "thawte" certificaten.

Echter, uit de documentatie die ik kan vinden op het internet blijkt dat 
de certificaten als "subject" niet enkel je naam en voornaam bevatten 
maar ook nog een extra "serial-nummer.. Alleen blijkt dat dat 
"serie-nummer" in de documentatie wel heel erg veel op een 
rijksregisternummer lijkt. Kan iemand die ondertussen al een e-id kaart 
heeft dit bevestigen?

Want dat zou willen zeggen dat -als je die certificaten zou gebruiken om 
te ondertekenen- dat je dan automatisch ook je geboortedatum en geslacht 
meeheeft. (want die zit in het leesbaar deel van je certificaat).

Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft om 
mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me normaal; 
maar waarom verdikke je RRN. Men kon daar toch gewoon een niets-zeggen 
willekeurig getal genomen hebben?
Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?



En dan verder nog 2 andere vraagjes:
- ben je als je nog een geldig "kartonnen" identiteitskaart hebt (de 
mijne loopt tot 2006), ben je dan verplicht om je e-id te gaan ophalen 
als je dat niet wil? (vanwege de privacy-problemen hiermee)?
- Op de website van het rijksregister heb ik een interessant document 
gevonden:
Zie 
http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/cdoku-aoeik.htm
Bijlage   3 : formulier om af te zien van het gebruik van de 
certificaten van de elektronische identiteitskaart 
<http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/bijlage3_formulier_afzien__v_certif_nl_p.pdf>

Indien ik tot de conclusie kom dat mijn privacy niet gewaarborgd wordt; 
dan zou ik zeker van deze procedure willen gebruik maken. Heeft iemand 
dit al gedaan.

het zou inderessant zijn moest er ook de mogelijkheid bestaan om heel 
het electronisch onderdeel van de kaart te desactiveren. (dus ook het 
deel voor de persoonsgegevens). Feit is natuurlijk dat er bepaalde 
gegevens zijn die niet op de "buitenkant" van de kaart aangebracht zijn..


NB. Weet iemand het email-adres van die persoon (staats-secretaris of 
zo) die verantwoordelijk is voor de e-id? Ik heb vandaag een vraag 
gestuurd naar de helpdesk van de dienst van het RR; maar ik wil desnoods 
weten wat ik moet doen als ik daar geen antwoord krijg.



Cheerio! Kr. Bonne.

More information about the Openstandaarden mailing list