Belgische financiële overheidssite mag inlog Microsoft-account niet verplichten

De Federale Overheidsdienst van België voor financiën moet stoppen met de eis dat gebruikers van Fisconetplus een Microsoft-account moeten gebruiken om in te loggen. Dat beslist de Gegevensbeschermingsautoriteit in een voorlopige maatregel.

Gebruikers van het FisconetPlus-portaal moeten sinds 2018 inloggen met een Microsoft-account, maar de GBA tikt FOD Financiën hiervoor op de vingers. "Het afstaan van persoonsgegevens mag geen voorwaarde zijn voor de toegang tot publieke informatie", stelt de privacywaakhond. Op FisconetPlus kunnen Belgen fiscale regelgeving inzien. De reden waarom een Microsoft-account nodig is voor authenticatie, is dat de database op Sharepoint in de clouddienst van Microsoft voor overheden draait, zei FOD Financiën in 2018 tegen Knack.

In februari 2019 publiceerde de GBA al de aanbeveling dat FOD Financiën met het exclusief inloggen met een Microsoft-account moest stoppen omdat dit in strijd is met de AVG. Uit onderzoek bleek dat de federale overheidsdienst geen verbetering had aangebracht waarna de GBA FOD Financiën gelastte om de gegevensoverdracht naar Microsoft stop te zetten.

Het gaat om een voorlopige beslissing die drie maanden gehandhaafd kan worden met een verlenging van nog eens drie maanden. De Geschillenkamer van de GBA gaat zich er nu over buigen.

Lees meer

IT-banen

Reacties (84)

LiReC
4 juni 2020 23:31

Dit is al opgelost sinds 29/05/2020:
Vrij toegankelijk sindsdien via de link: https://financien.belgium.be/nl/fisconetplus

Het draait volgens mij nog steeds op sharepoint (dit is nog niet zo lang geleden daarnaar gemigreerd) => het portaal is gewoon aangepast, in samenwerking met microsoft, dat de login niet meer vereist is.

Het nadeel, als ik me niet vergis, is dat je nu niet meer zoals voorheen een persoonlijke bibliotheek kan aanleggen.

LiReC
@LiReC • 8 juni 2020 14:51

(bron: https://datanews.knack.be/)
"
Update 5/6/2020
De FOD Financiën verduidelijkt tegenover Data News dat het na de opmerkingen van de Gegevensbeschermingsautoriteit begin 2019 samen met Microsoft een systeem had opgezet om een anonieme Microsoft-account op te zetten waarbij noch de FOD noch Microsoft de gebruiker kent. Daardoor was er een keuze tussen twee verbindingsmogelijkheden.

Tegelijk heeft de overheidsdienst aan de GBA beloofd om Fisconetplus te herschrijven op een platform dat volledig op de eigen infrastructuur wordt gehost en is geïntegreerd in MyMinfin. Die applicatie ging in januari 2020 in productie waardoor er drie manieren waren om de database te raadplegen.

Door de beslissing van de GBA zijn die eerste twee methodes sinds afgelopen vrijdag stilgelegd. Die biedt dezelfde toegang, maar laat geen personalisatie of meldingen toe, wat volgens de FOD FInanciën door veel gebruikers wel werd gewaardeerd."

Jol65
4 juni 2020 18:28

Ze lopen toch voor in België? Er is een e-ID kaart waarmee je je kan identificeren en authenticeren.

https://www.belgium.be/nl...entiteit/identiteitskaart

i7x
@Jol65 • 4 juni 2020 21:26

DigiD werkt ook prima in Nederland. Probleem hier lijkt niet zozeer het ontbreken van een login middel voor de overheid, maar het gebruik van SharePoint wat daarmee niet kan omgaan. Moet ongetwijfeld een oplossing voor zijn maar kost wel wat ontwikkelwerk. Eenvoudiger is wellicht het vermijden van SharePoint. Gaat toch maar om wat documentjes, dat kan op heel veel andere manieren ook gepubliceerd worden.

[Reactie gewijzigd door i7x op 4 juni 2020 21:27]

sebastienbo
@i7x • 5 juni 2020 08:33

Ze zouden nook itsme kunnen integreren (in belgie gebruikt als eid vervanger)

itsme word door andere overheidsdiensten ook al gebruikt

RobinJ1995

@Jol65 • 4 juni 2020 18:30

Prachtig systeem, maar momenteel is het jammer genoeg vooral heel erg veel verloren potentieel. Wordt praktisch nergens voor gebruikt, en waar het wel wordt gebruikt doen ze het verkeerd. Bij mijn Belgische bank moet ik bijvoorbeeld om de zoveel tijd mijn e-ID laten uitlezen. Sinds ik ben geëmigreerd staat er geen adres meer op, en crasht dus elke keer het systeem het moment dat ze hem proberen uitlezen

Mr777
@RobinJ1995 • 4 juni 2020 18:57

Prachtig systeem, maar momenteel is het jammer genoeg vooral heel erg veel verloren potentieel. Wordt praktisch nergens voor gebruikt, en waar het wel wordt gebruikt doen ze het verkeerd. Bij mijn Belgische bank moet ik bijvoorbeeld om de zoveel tijd mijn e-ID laten uitlezen. Sinds ik ben geëmigreerd staat er geen adres meer op, en crasht dus elke keer het systeem het moment dat ze hem proberen uitlezen

Je belastingen, je loopbaanoverzicht, je pensioen, Selor... allemaal zaken waar je met je e-ID kunt inloggen. En de meeste ambtenaren bij de overheid zelf loggen elke dag in met hun e-ID. Vandaar dat dit artikel mij een beetje verbaast, blijkbaar is dat FisconetPlus hierop een uitzondering.

Sebast1aan
@Mr777 • 4 juni 2020 21:53

Inderdaad. En in combinatie met Itsme op je smartphone is het wel erg handig.

locke960
@Mr777 • 4 juni 2020 22:28

En de meeste ambtenaren bij de overheid zelf loggen elke dag in met hun e-ID.

Wacht, zeg je nou dat die ambtenaren voor hun werk hetzelfde account moeten gebruiken als voor hun privé zaken? Wordt dat geaccepteerd? Daar zou ik wel bezwaren tegen hebben. Op die manier loop je privé een groter risico omdat je via je werk gehackt kan worden.

Glodenox

@locke960 • 4 juni 2020 23:14

eID is geen account, maar een certificaat dat op je elektronische identiteitskaart staat (twee certificaten eigenlijk: authenticatie en signature). Je moet letterlijk je identiteitskaart in een kaartlezer steken en een pincode ingeven om in te loggen. Als je itsme geactiveerd hebt kan je daar met gebruikersnaam en wachtwoord + bevestiging in app ook inloggen alsof je met je identiteitskaart ingelogd hebt, dus er bestaat ook een oplossing voor locaties waar je geen kaartlezer hebt.

locke960
@Glodenox • 5 juni 2020 00:24

Account, certificaat, komt op het zelfde neer. Je moet het gebruiken op computers van je werkgever over welke je zelf geen enkele controle hebt. Je weet dus niet wat er allemaal gebeurt als je die kaart in de lezer op je werk stopt en je pin code intikt. Als dat overheidsnetwerk gecompromitteerd wordt ben je ook persoonlijk de pineut.
En al zijn de risico's klein, alleen al uit principe zou je dit niet moeten willen. Dan maar 2 kaarten bijvoorbeeld, dan kan er nooit een discussie over ontstaan.

J.Verhaert
@locke960 • 5 juni 2020 07:29

Werknemers verplichten 2 losse kaarten hebben zorgt dan in praktijk op de werkvloeren ook weer voor problemen. Werknemers klagen omdat ze meerdere kaarten mee moeten nemen; Ze klagen omdat ze technisch werkloos zijn omdat ze die extra kaart vergeten zijn; ...

In belgië heb je dan ook nog eens de verschillende overheidsniveaus: Federaal, per gewest (Vlaams, Waals, Duitse en Brusselsegemeenschap), gemeentelijk. Als je op elk niveau een kaartsysteem gaat introduceren gaan sommige medewerkers 5 kaarten hebben. Wegens de vaak politieke problemen gaan deze systemen ook nog eens op verschillende manieren gefinancieerd zijn en incompatibel zijn...

Alsook wat ga je doen in bedrijven zoals de mijne waar iris scanners / vinger afdrukkers / face recognition gebruikt worden om je toegang te verlenen tot het gebouw? Moet ik dan ook een tweede paar ogen, extra set vingers en nieuw body postuur aanvragen?

Die kaart is er net om te bewijzen dat jij bent wie je bewijst dat je bent. Zie het als een 2 step authenticate:
- je hebt je overheidswerk account;
- je steekt de eid in een kaartlezer om te zeggen dat jij persoon X bent;
- de kaartlezer laat aan de computer weten dat jij persoon X bent;
- het systeem controleert dan achterliggend dat bij het aanmelden ik dus geldige authenticatie heb gedaan alsook dat ik persoon X ben die mag werken;

uip
@J.Verhaert • 5 juni 2020 08:08

In belgië heb je dan ook nog eens de verschillende overheidsniveaus: Federaal, per gewest (Vlaams, Waals, Duitse en Brusselsegemeenschap), gemeentelijk.

In de praktijk gebruik al die beleidsniveau's CSAM, het federale inlogsysteem. Soms, héél soms, gaat het goed

Glodenox

@locke960 • 5 juni 2020 09:50

Absoluut niet! Een certificaat is iets helemaal anders dan een account! Voor een account moet er in een databank gekeken worden bij het inloggen en heeft het systeem dat het account beheert zo meestal een goed idee van waar je inlogt en wat je allemaal doet. Een digitale handtekening met een certificaat kan je zonder naar de beheerder te gaan nagaan of deze correct is. Je moet namelijk alleen kijken of de certificate chain correct is en of deze niet op de revocation list staat. Dat kan in principe voor een groot deel zelfs zonder internetverbinding.

Je krijgt duidelijk een aanduiding (van Windows of een ander operating systeem, niet de applicatie zelf) dat er om je handtekening of je authenticatie wordt gevraagd. Als er om een handtekening gevraagd wordt om ergens in te loggen weet je dat er iets fout gaande is. Zelfs als CSAM gehacked zou zijn, zou men je pincode niet kunnen achterhalen en dan ben je de controle over je certificaat niet kwijt of iets dergelijks. Men zou zich zo alleen eenmalig kunnen voordoen als jou door je op die manier iets digitaal te laten handtekenen. Maar dat risico lijkt me verwaarloosbaar klein, moeilijk te misbruiken en makkelijk om te keren.

Het is goed om kritisch te zijn ten opzichte van zulke systemen, maar hier is het echt wel onterecht.

[Reactie gewijzigd door Glodenox op 5 juni 2020 09:53]

sebastienbo
@locke960 • 5 juni 2020 08:36

Met itsme heb je dat risico niet meer, daar zit je met een three factor authentication (something you know, something you have, someone who knows you(trust)

someone who knows you(trust)
Is een factor waar een externe partij fungeert als mediator om een vertrouwensrelatie op te zetten tussen twee partijen die elkaar niet helemaal vertrouwen. Een beetje zoals een CA voor certificaten

In dit geval is itsme de trust mediator (er is ook nog altijd een ca in dit verhaal)

[Reactie gewijzigd door sebastienbo op 5 juni 2020 08:37]

Kenhas
@locke960 • 5 juni 2020 09:13

Tja, zo kan je alles verdacht maken.
Wat gebeurt er als ik met een bankkaart betaal in een winkel? Heb je toch ook geen controle over? Alles cash betalen dan maar. Maar dan moet je weer geld uit de muur halen, waar je ook geen controle over hebt.

En als het overheidsnetwerk gecompromitteerd wordt, wat kan er dan gebeuren? Voor zover ik weet, bestaat het systeem van e-id en ItsMe om ervoor te zorgen dat het authentiseren los staat van het netwerk waarop je wil inloggen
Ikzelf gebruik uitsluitend ItsMe (zowel voor het persoonlijk inloggen als het inloggen als werknemer), wat de digitale versie is van de e-id en zie echt niet wat het probleem is.

ejabberd
@Mr777 • 5 juni 2020 08:01

De e-ID wordt inderdaad door best veel zaken gebruikt. Ook voor allerlei aangiftes en aanvragen die bedrijven moeten doen bv. Ik gebruik het daarvoor alleen al wekelijks minstens twee keer.

b12e
@RobinJ1995 • 4 juni 2020 23:35

Ik heb het zelfde probleem 🤷🏻‍♂️ Het helpt ook niet dat er een fictieve postcode wordt ingeladen in de chip.

680x0
@b12e • 4 juni 2020 23:53

Dan ga je toch gewoon naar het gemeentehuis om het te updaten?

b12e
@680x0 • 5 juni 2020 08:33

Welk gemeentehuis? Als je niet officieel in België woont, dus uitgeschreven uit de Belgische gemeente, heb je geen gemeentehuis meer waar je terecht kan. Je lokale consulaat, of consulaire dienst binnen de ambassade, is dan je gemeentehuis.

Gezien de chips geen buitenlandse adressen aankunnnen (postcode met letters, of 5 cijfers, of ...) wordt er een fictief adres ingeladen ("1238 Spanje" ofzoiets in mijn geval). Mocht je verhuizen is het ook niet evident soms duizend kilometer te moeten reizen naar de dichtstbijzijnde Belgische consulaire post. En ze kunnen die ID-kaart in het buitenland toch niet uitlezen, dus heeft ook weinig nut.

Edit: tiepfaud

[Reactie gewijzigd door b12e op 5 juni 2020 08:33]

680x0
@b12e • 5 juni 2020 23:58

Dan zal u toch iets fout doen want na uw schrapping in België vervalt uw eID na 2 maanden u moet ondertussen een nieuwe aanvragen op het juiste consulaat.

b12e
@680x0 • 6 juni 2020 15:45

Ik heb er eentje uitgegeven in het consulaat van Barcelona. Als je deze uitleest zal je zien dat er een fictieve postcode is ingeladen, alsook een fictieve gemeente 'Spanje'.

In 2013 ben ik ingeschreven in het consulair register in Barcelona en is het adres aangepast naar bovenstaand.
Bovendien was mijn kaart geldig tot 2015. In 2015 ben ik op het consulaat een nieuwe gaan halen die geldig blijft tot 2025. In 2017 moest ik bij BNPPF mijn kaart laten uitlezen. U snapt het al, hun computer liep erop vast.

[Reactie gewijzigd door b12e op 6 juni 2020 15:48]

Jhonna
@Jol65 • 4 juni 2020 18:38

Ja dat werkt vaker niet dan wel, het is een theoristisch goed systeem maar in de praktijk klik ik veel vaker ItsMe aan, wat vaak ook als optie staat samen met de e-ID kaart. Dat werkt prima! De e-ID heeft een driver nodig, en om één of andere reden werkt die vaak niet en magischerwijs dan ineens wel..

blehz
@Jhonna • 4 juni 2020 19:05

Raar, nooit problemen mee gehad. Windows 10 Chrome en Belfius kaartlezer.

zenlord
@blehz • 4 juni 2020 19:12

Idem hier - sinds een jaar of 7-8 hier in gebruik onder verschillende linux distributies en - versies. De problemen beginnen pas als iemand het een goed idee vindt om af te wijken van dat systeem (yes, you, "Digitaal Platfrom voor de Advocaat" - daar gaan ze zelfs zo ver om iedere advocaat een advocatenpas te geven en de authenticatie uiteraard over andere paden te laten verlopen, terwijl de eID inderdaad al die hordes had kunnen wegnemen)

Terracotta
@Jhonna • 4 juni 2020 19:23

Itsme is een tunnel naar e-id (of bankkaart, maar bon, die doet hetzelfde als je e-id: een geauthentificeerd certificaat leveren).

Komt nog bij dat de overheid een portal heeft voor overheidsdiensten om authenticatie toe te laten via:
- itsme
- commerciële two-factor authenticatie leveranciers (ook te activeren via e-id)
- e-id
Die portal wordt al voor taks-on-web en verschillende andere overheidsdiensten gebruikt: de infrastructuur bestaat dus al.

De kern van de zaak is: er is geen enkele reden waarom deze overheidsdienst een microsoft-account moet vereisen.

goarilla
@Jhonna • 5 juni 2020 00:10

1 of 2 x je browser herstarten lost dat probleem op bij mij en mijn huisgenoten.

sebastienbo
@Jhonna • 5 juni 2020 08:49

op eid.be de laatste versie telkens downloaden als je problemen merkt.

lowlow
@Jhonna • 4 juni 2020 22:05

Laatste jaar ook weinig problemen mee gehad hoor.
3-4 jaar geleden moesten we een bouwaanvraag indienen en opvolgen en toen was het idd nog niet echt je dat, ondertussen dus al aan gewerkt achter de schermen

Jhonna
@lowlow • 5 juni 2020 00:44

Ja, ik heb "ooit" dus ook al enige tijd geleden (gezien ik lange tijd niet in België ben geweest) problemen gehad. Maar ik klik sindsdien vrijwel altijd ItsMe aan, werkt net zo fijn al dan niet fijner! Kan best zijn dat het inmiddels verbeterd is ja

wmca
@Jhonna • 6 juni 2020 13:22

Hier ook problemen mee. Werkt (gelukkig toch) op één van de vier computers hier in huis. Geen idee waarom. Overal drivers geïnstalleerd. Overal Windows geüpdatet naar de laatste versie. Alle browsers geprobeerd (inclusief extra plugin voor Firefox). Steeds zelfde EID-lezer. Als iemand extra tips heeft?

Blokker_1999

België
Politiek en recht
Privacy
Microsoft

@Jol65 • 4 juni 2020 19:09

Punt is dat het om publieke informatie gaat die niet eens achter een login mag gestoken worden. De e-ID is goed als authenticatie een must is, maar niet voor dit soort dingen.

RobinJ1995

4 juni 2020 18:27

Op Belgische overheidswebsites verplicht inloggen met een ongerelateerd systeem van een Amerikaans bedrijf. Daar hebben ze goed over nagedacht

Tomatoman
@RobinJ1995 • 4 juni 2020 18:30

Überhaupt moeten inloggen om fiscale regelgeving te mogen inzien

keesg
@Tomatoman • 4 juni 2020 19:10

In Nederland moet je bij een derde partij een dienst kopen om in te kunnen loggen bij de belastingdienst. Althans bedrijfsmatig. Dit moet dan per BV. Kosten 45 euro per bedrijf. Dit om aangifte te kunnen doen....

tweaknico
@keesg • 4 juni 2020 21:59

Ook @SirQuack :

Bij e-Herkenning is een account per persoon binnen het bedrijf dat zich moet identificeren namens het bedrijf. (Dus als een boekhouder de belasting moet indienen, en een ander de Human Resources doet, en de directeur de overige zaken officieel moet aanmelden dan heb je al 3* de kosten voor E-Herkenning).

@DDuce:
Wat was blijft niet zo, e-Herkenning wordt nu uitgerold.
https://www.accountancyva...cht-aangifte-loonheffing/
https://www.accountancyva...erheid-door-tweede-kamer/

m.i. was Digid op basis van BTW nummer beter, of als een persoon moet tekenen, dan is een persoon nu ook al gemachtigd en voor persoon identificatie is er al Digid voor al die instanties.
Kortom e-herkenning is een duur overbodig instituut.
Zowel Digid als e-Herkenning vallen beide on eIDAS: https://www.eherkenning.nl/vraag-antwoord/eidas#
Prijzen: https://www.eherkenning.nl/leveranciersoverzicht

[Reactie gewijzigd door tweaknico op 4 juni 2020 22:29]

sOid
@keesg • 4 juni 2020 19:39

E-herkenning bedoel je? De kosten daarvan zijn afhankelijk van het niveau dat je nodig hebt en de aanbieder die je kiest. Voor de meeste dingen is 2 of 2+ voldoende. Voor 2+ is dat zo’n 20 euro per jaar. Dus om daar nou van wakker te liggen...

SirQuack
@sOid • 4 juni 2020 20:33

De € 45,- die het duurdere pakket zou kosten zijn ook niet de kosten voor een beetje BV.

Het knelpunt is dat de overheid je verplicht een dienst bij een bedrijf af te nemen, enkel voor toegang tot diensten waar bedrijven verplicht zijn gebruik van te maken. Als zo'n service dusdanig vitaal is, vind ik dat de de overheid ook zelf een optie moet bieden tot toegang.

Expander
@SirQuack • 4 juni 2020 21:14

Erger nog: Eigenlijk geldt dit voor veel meer dingen:

KvK-inschrijving moet, maar levert alleen maar spam en privacyproblemen op;
Voor je rijbewijs ben je afhankelijk van het Centraal Bureau Rijvaardigheidsbewijzen, maar dat functioneert niet waardoor je je beroep niet kan uitoefenen;
Alle gezondheidsverzekeringen. Verzekering is verplicht, maar die zijn alleen maar via private partijen af te nemen.

De ogen van mensen willen hiervoor kennelijk niet open. Dit is privatisering en daar zijn veel voorstanders voor.

tweaknico
@Expander • 4 juni 2020 22:01

KvK is een oud instituut, het zijn van origine de VOC Divisies.

nightgold
@Expander • 5 juni 2020 04:48

Godgeklaagd die spam. Toen ik me als zelfstandige registreerde in België kreeg ik plots hopen spam in mijn mailbox en telefoontjes. Voordien had ik 0 spam mail sinds ik dat email adres uitsluitend gebruik voor officiele dingen.
Ik sta nochtans op de no-call lijsten en unsubscribe van iedere spam mail die ik ontvang. Maar 5 jaar later komen ze nog steeds frequent binnen.

Mr777
@nightgold • 5 juni 2020 06:52

en unsubscribe van iedere spam mail die ik ontvang. Maar 5 jaar later komen ze nog steeds frequent binnen.

Daar zit je probleem. Je levert voortdurend zelf het bewijs dat je een actief email-adres hebt, dat je je mails opent en leest. Dat je niks meer van spammer A wilt ontvangen is niet zo erg, die kan nu je adres verkopen aan spammer B als zijnde "geverifieerd actief", en dat is natuurlijk net wat meer waard dan een adres waarvan ze niet zeker weten of het wel actief is. Helemaal niet reageren op spam (dus ook niet unsubscriben) en de troep zoveel mogelijk wegfilteren is een beter idee.

vrow
@Mr777 • 5 juni 2020 11:48

Per se niet op de unsubscribe-button drukken is wel iets van vroeger of voor vage viagra-mailtjes uit het buitenland.
Veel op zich legitieme bedrijven, halen e-mailadressen op bij de KvK. Dat zijn geen vage buitenlandse bedrijven, maar bedrijven die hun producten onder de aandacht willen brengen. Ze bellen vaak ook.
Als je dan per mail of telefoon aangeeft daar geen prijs op te stellen, word je over het algemeen keurig verwijderd uit het bestand.
Het is echt niet alsof deze bedrijven allemaal zelf een database aanleggen en die doorverkopen. Dat is helemaal niet het doel van die bedrijven.
Je kunt natuurlijk vraagtekens zetten of je het netjes vindt dat bedrijven ongevraagd je mailadres of telefoonnummer ophalen bij de KvK, maar dit is zo oud als de weg naar Rome. Vroeger was het dan vaker de post of fax, maar dit zijn geen hordes kwaadwillende bedrijven.

Anoniem: 100047
@nightgold • 5 juni 2020 08:18

Dat is bijna normaal. Word zwanger en je wordt doodgegooid met happy mandjes, koop een huis en de ene folder na de andere spamt jouw brievenbus. Welkom bij marktwerking.

En idd: spammailtjrs niet lezen en vooral geen unsubscribe knop aanraken.

invic
@SirQuack • 4 juni 2020 21:03

Inderdaad, ik snap idd niet waarom je voor het gebruik van e herkenning moet betalen. Immers de informatieoverdracht zou efficiënter en betrouwbaarder moeten zijn. Win voor de overheid en daarnaast betaalt een bedrijf belastingen. Dus het betaalt indirect ook al voor de ICT investeringen...

Anoniem: 1322
@SirQuack • 4 juni 2020 21:53

Toen een familielid met dit verhaal aan kwam zetten verklaarde ik het voor gek.

Dus je moet een derde partij betalen om in te loggen bij de belastingdienst?
Sorry, maar ik denk dat je in de war bent met DigiD, ofzo...

Toen bedacht ik mij... Overheid? Ja, dit is typisch iets absurds dat onze overheid zou doen..
Dit hele nieuwsbericht verbaast mij ook niets... Waarom zouden de buren het beter hebben?

Carlos93
@sOid • 4 juni 2020 21:04

Gaat er om dat het asociaal is om er voor te moeten betalen. Zij willen dat je aangifte doet, dan moeten zij er ook voor zorgen dat dat mogelijk is, zonder dat je 20 euro per jaar zou moeten betalen.

Lord Anubis
@sOid • 4 juni 2020 23:20

Erg zielige reactie. Het gaat om het principe, je wordt gedwongen om bij een derde partij inlog gegevens te hebben en ernog voor betalen ook. Knops is echt van het padje af. Of beter uitgedrukt "van de pot gerukt"

DDuce
@keesg • 4 juni 2020 19:38

Wat een onzin. Ik heb 3 BVs en dit nog nooit hoeven doen. Gewoon een login gekregen van de Belastingdienst, user/pass, per BV.

ViperXL
@DDuce • 4 juni 2020 20:29

Inderdaad, same here. Kwam me al raar voor

Anoniem: 1322
@DDuce • 4 juni 2020 21:50

Helaas geen onzin, zoals @PR3M1UM al aangeeft moet je tegenwoordig identificeren via eHerkening:
https://www.belastingdien...tent/zo-werkt-eherkenning

ViperXL
@keesg • 4 juni 2020 19:29

Huh? Over welke dienst heb je het dan?

PR3M1UM
@ViperXL • 4 juni 2020 20:24

eHerkenning https://www.kpn.com/zakel...ivacy/eherkenning/eh3.htm. Als je gebruik maakt van eHerkenning bij Belastingdienst (wat steeds meer afgedwongen wordt vanaf 2020) vereisen zij minimaal eh3, dat is 45 euro per jaar

[Reactie gewijzigd door PR3M1UM op 4 juni 2020 20:30]

edeboeck
@RobinJ1995 • 4 juni 2020 19:17

Op Belgische overheidswebsites verplicht inloggen met een ongerelateerd systeem van een Amerikaans bedrijf. Daar hebben ze goed over nagedacht

Ik vind dit een beetje goedkoop bashen om eerlijk te zijn: zo "ongerelateerd" is het namelijk niet.

quote: In het artikel staat:
De reden waarom een Microsoft-account nodig is voor authenticatie, is dat de database op Sharepoint in de clouddienst van Microsoft voor overheden draait, zei FOD Financiën in 2018 tegen Knack.

RJG-223
@edeboeck • 4 juni 2020 23:08

Ik vind dit een beetje goedkoop bashen om eerlijk te zijn: zo "ongerelateerd" is het namelijk niet.

Het is wél ongerelateerd. Ik vind de keuze voor een hostingprovider nogal ongerelateerd aan de inhoud van de website en aan het soort account dat je nodig hebt.

Als je al een account nodig hebt om bij gegevens te komen, dan moet dat een account zijn van de instantie waarvan de gegevens zijn. Niet verplicht een account van een ongerelateerd (!) bedrijf.

Verder, als jij als bedrijf je website onderbrengt bij hosting-provider A, en al jouw klanten moeten daarom ineens ook een account hebben bij hostigprovider A, voordat ze überhaupt jouw website kunnen gebruiken, dan is dat volkomen ridicuul. Denk je ter vergelijk eens in: een verplichting als burger om een persoonlijk strato-account, of een argeweb-account, te hebben om een overheidssite te benaderen. Belachelijk. Om nog maar niet te denken van het geval dat ze van hostingprovider zouden willen wisselen.

Blijkbaar is Microsoft zo alomtegenwoordig, dat dit geaccepteerd wordt, en normaal gevonden wordt. Goed dat er wetten zijn die hier paal en perk aan stellen.

ari
@RJG-223 • 5 juni 2020 00:37

Het SharePoint-databasesysteem is van Microsoft. Dat je dan het inlogsysteem van dezelfde leverancier gebruikt om toegang tot de database mogelijk te maken is gerelateerd. Als ze waren komen aanzetten met verplicht inloggen met Google of Facebook, dan zou het ongerelateerd zijn want die bedrijven hebben niets van doen met het systeem. Microsoft wel, want dat is de leverancier.

Ik ben het met je eens dat het onzinnig is om als overheid te vereisen dat de burger een account bij de leverancier van hun software heeft en dat de burger dat account moet gebruiken om toegang te krijgen. Dat is inderdaad ridicuul en het is prettig dat hier wat tegen gedaan wordt.

Het.Draakje
@ari • 5 juni 2020 05:50

Ik heb nog nooit meegemaakt dat je een Oracle database via een web-site ontsluit met persoonlijke accounts. Identificatie doe je met een web-account in de front-end. En dat account wordt 'vertaald' naar een algemeen applicatie user-id, met bijvoorbeeld een token. Die moet toegang hebben tot de database. Gebruikers-account van een front-end niet.

Alleen je front-end is publiek bereikbaar, jouw database niet. Die is alleen bereikbaar vanaf een web-server.

Als SharePoint zo'n constructie niet aankan, dan hadden ze het op een andere manier moeten oplossen.

ari
@Het.Draakje • 5 juni 2020 13:56

Ik stel puur dat de leverancier van de database is gerelateerd aan de database. Dat is een feit, die twee dingen hebben met elkaar te maken.

Verder noem ik dat het ridicuul dat gebruikers van een front-end (de burger) een account van de leverancier nodig hebben. Daarover zijn we het allemaal eens.

Ik krijg het idee dat men bij die specifieke overheid gedacht heeft 'we gebruiken SharePoint, dus de makkelijkste manier is door simpelweg iedereen leesrechten te geven'. Op zich een logische gedachte als iedereen een Microsoft-account heeft, en waar je dit voor een interne toepassing perfect zo kunt doen is dat voor een externe toepassing niet geschikt.

Superstoned
@edeboeck • 4 juni 2020 20:06

Tijd voor een privé cloud... er zijn zat alternatieve oplossingen.

Yalopa
@Superstoned • 5 juni 2020 06:12

de G-cloud bestaat hoor

tweaknico
@edeboeck • 4 juni 2020 22:30

Het had ook op een IIS pagina gezet kunnen worden... zonder autorisatie eisen.
(al of niet met een mooi frontje).

i7x
@RobinJ1995 • 4 juni 2020 21:31

Het is enkel voor het kijken van wat publieke documentjes, dus niet echt kwetsbaar ofzo. Dat het Amerikaans is boeit dan ook niet echt lijkt mij (heel veel overheden draaien trouwen exchange en dergelijke, is zelfs een speciale overheids variant van veel microsoft services). Maar als mensen daar niet aan willen levert het wel gedoe want het staat op SharePoint. Voor een snelle oplossing kunnen ze de boel gewoon buiten SharePoint hosten waar je ook geen login nodig hebt.

AmbroosV
4 juni 2020 18:42

En dat terwijl we CSAM.be hebben, de SSO van de overheid. CSAM werkt erg goed, je kan aanmelden met username+pass+2fa / eID / itsme / ... Het zou leuk zijn moest er vanuit de overheid een verplichting komen voor overheidsdiensten om CSAM te gebruiken voor authenticatie.

dragonlords1
@AmbroosV • 4 juni 2020 18:59

Dat is in dit geval toch nergens voor nodig. Dit zijn allerlei documenten, regelgeving, verduidelijkingen enzo die allemaal achter login verstopt waren. Als je van de burger verwacht dat deze geïnformeerd en op hoogte is, dan steek je dit toch niet achter een loginpagina.

Toen het mij de eerste keer overkwam dat ik moest aanmelden hiervoor, heb ik toch eens serieus gedraaid met mijn ogen.

AmbroosV
@dragonlords1 • 4 juni 2020 19:37

Oof, nog erger dan. Ik dacht dat het ging over een soort interactief portaal. Als het gewoon info is moet dat gewoon publiek open staan.

SED
4 juni 2020 18:29

Lijkt mij een ijzersterk argument dat voor alle publieke diensten op zou moeten gaan.

"Het afstaan van persoonsgegevens mag geen voorwaarde zijn voor de toegang tot publieke informatie"

Je mag ook verwachten dat een staat capabel genoeg is zijn eigen accounts te creeren en bewaren.
De koppeling met allerlei diensten is dan ook in de juiste handen.

bush
4 juni 2020 19:11

Welke informatie wordt er dan wel naar Microsoft verstuurd als je inlogt met een Microsoft account?
MS verzorgt dan toch enkel de authenticatie? Hoe is dit in strijd met de AVG?
Zo'n account kan je bovendien gratis aanmaken.

JeroenED
@bush • 4 juni 2020 19:19

Het gaat hier meer over het feit dat de informatie achter een login wall zit waarbij aanmelden via Amerikaans bedrijf gebeurt. Neem daarbij dat het om publieke info gaat die je ook gewoon in folders van de overheid kan vinden, maakt dit probleem extra lastig. Je moet je gegevens afgeven voor iets waar dit niet zo moeten.

[Reactie gewijzigd door JeroenED op 4 juni 2020 19:21]

bush
@JeroenED • 4 juni 2020 19:29

Ik begrijp dat het niet gewenst is, maar in het artikel staat dat het in strijd is met de AVG en dat begrijp ik niet

Datajurist
@bush • 4 juni 2020 20:04

Het is in strijd met de principes van de AVG, met name data minimisation en data protection by design. Die principes zijn duidelijk opgenomen in artikel 25 van de AVG. Dit artikel benadrukt dat enkel persoonlijke gegevens moeten worden verwerkt die noodzakelijk zijn voor het doel van de verwerking.

Concreet in dit geval is het laten verwerken van logins en wachtwoorden (persoonsgegevens) door Microsoft niet noodzakelijk om toegang te krijgen tot openbare informatie (doel van de verwerking).

i7x
@Datajurist • 4 juni 2020 21:34

Het is wel noodzakelijk als je die data op SharePoint wilt hebben, wat hier natuurlijk het geval is. Maar goed, dat vinden ze wellicht makkelijker (ik zie niet in waarom maar ben zelf dan ook geen fan van dit platform), maar heel veel extra werk zal het ook weer niet kosten om het op een andere manier te hosten.

RJG-223
@i7x • 4 juni 2020 23:23

Het is wel noodzakelijk als je die data op SharePoint wilt hebben, wat hier natuurlijk het geval is.

Je bedoelt dat het een noodzakelijk gevolg in van de implementatie-keuze.

Volgens mij zijn hier dan ontwerp en implementatie omgedraaid.

Dat is een beetje als zeggen: nogal logisch dat voor een MBO opleiding detailhandel beheersing van de chinese taal noodzakelijk is: de examens worden ingekocht bij een chinees bedijf, en zijn enkel in het chinees beschikbaar ! Duh.

bush
@RJG-223 • 5 juni 2020 08:34

volgens mij kan je op SharePoint ook anonymous access opzetten, maar dat heeft natuurlijk beperkingen naar personalisatie bvb

JeroenED
@bush • 4 juni 2020 19:36

Kan ik niet met 100% zekerheid op antwoorden, maar ik ga ervan uit dat het om een clausule gaat waarbij publieke informatie publiek beschikbaar moet zijn, wat hier dus eigenlijk niet het geval is. Ondanks dat je een MS-account gewoon gratis kan aanmaken en waarschijnlijk 90% van de gebruikers deze wel al hebben, is het in se nog steeds niet-publiek, want inloggen is verplicht.

AVG gaat over meer dan de accounts die je hebt bij facebook en recruiters.

[Reactie gewijzigd door JeroenED op 4 juni 2020 19:38]

Giesber
@bush • 4 juni 2020 20:10

Je IP adres, je e-mail adres. Dat zijn er al 2 die zowat zeker zijn, wie weet wat er nog allemaal verstuurd wordt naar Microsoft als je inlogt op een Microsoft account.

Dat wil dus ook zeggen dat de website van de FOD Financiën je e-mail adres deelt met Microsoft, en dat mag niet. Want het e-mail adres is een persoonsgegeven.

Jemboy
4 juni 2020 18:33

@RobinJ1995 over nadenken...
Haha, nee enen junior ICT-er heeft op ener namiddag dit systeem geïnstalleerd zonder dat zijnen chef dit wist.... achteraf was het te laat, hé?

[Reactie gewijzigd door Jemboy op 4 juni 2020 18:34]

Enai
4 juni 2020 18:54

Als Belgische developer in de Microsoft-stack: boe!

DigitalExorcist
4 juni 2020 20:38

En terecht. Hoe verzin je een verplichte login van een 3rd party, nog een commercieel bedrijf ook... what’s next, een verplichte Facebook login voor de Belasringdienst?

i7x
@DigitalExorcist • 4 juni 2020 21:35

Soms kom je het wel eens tegen, niet bij de overheid gelukkig, maar met andere dingen als klantenservice enkel via Facebook messenger. Heel irritant inderdaad.

ExManolo
@DigitalExorcist • 4 juni 2020 22:17

Ja, precies, daar zat ik ook aan te denken. Want ze vlooien je social media al na om te kijken of je een vriendin hebt en misschien samenwoont, en of een auto hebt bijvoorbeeld. Het gaat allemaal veel te ver.

egnappahz
5 juni 2020 09:08

Ik denk dat hier zowat het probleem aangekaart waar IT diensten te afhankelijk geworden zijn van bedrijven zoals Microsoft; waar ze geen authenticatie oplossing kunnen verzorgen zonder de hulp van zo'n cloudservices. Hier moet dringend weer verandering in komen, inderdaad.

PS: De opmerking van de eID is inderdaad wel een rake klap! Dit is de perfecte (lokale zelfs!) tool voor authenticatie te kunnen uitvoeren voor elke burger...

[Reactie gewijzigd door egnappahz op 5 juni 2020 09:09]

alt-92
@egnappahz • 5 juni 2020 18:13

Ik denk dat hier zowat het probleem aangekaart waar IT diensten te afhankelijk geworden zijn van bedrijven zoals Microsoft; waar ze geen authenticatie oplossing kunnen verzorgen zonder de hulp van zo'n cloudservices.

Ik denk eerder dat hier een verkeerde implementatiekeuze is gemaakt gezien het inmiddels wel zonder login beschikbaar is gemaakt op hetzelfde platform.

Op dit item kan niet meer gereageerd worden.

Belgische financiële overheidssite mag inlog Microsoft-account niet verplichten

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden