Guest at BNR Digital radio on biometrics


biometrie-BNR-MaartenOn August 17th I was a guest at the Dutch BNR news radio station, as part of the weekly BNR Digital broadcast. I was there as expert on biometric authentication. I responded to the questions on the opportunities for biometric authentication in mostly positive manner. I argued that biometric authentication can be a user-friendly second authentication factor. But I also voiced some concerns: not all implementations as done well, liveness detection (presentation attack detection) is and will remain a (if not the) challenge and privacy can be a serious issue.

Read the rest of this entry »

Digi2: a PoC app for DigiD



DigiD is the Dutch national digital identity solution for citizens to use e-government services (and online health and pension-related services). It is quite popular actually, in 2015 there where 12 million citizens that had a DigiD, on a population of a bit of 17 millions. Also the amount of logins had increased significant over the year, with over 200 millions logins in 2015. InnoValor did a project in 2015 to make a proof-of-concept app for DigiD that can 1) serve as replacement of SMS as second-factor, 2) can be used with government mobile app and 3) is more secure than current DigiD because it can use the contactless chips in e-passports etc as second factor. We did this project for and with DUO (government organisation responsible for student enrolment, student finance etc), in collaboration with RDW (government organisation responsible for driving licenses, vehicle registration etc) and Logius (government organisation responsible for DigiD).

The below blogpost is written jointly with Jan Kouijzer from DUO and gives details. It is in Dutch and includes links to videos with a demo. It appeared earlier (7 December 2015) on

Read the rest of this entry »

Privacy, discount on your insurance and IoT



Below is a blog post that I published earlier this month in the InnoValor website on privacy, getting a discount on your insurance based on your behaviour and the Internet of Things. The reason for this post was a major Dutch insurance company (Achmea) which was in the press on this subject. They even got a Big Brother nomination out of it (but did not win).

For non-Dutch speakers, the first main point I make in the below blogpost is also depicted in the picture above: the privacy challenge related to using IoT-like data in the insurance sector depends on what you use this data for. When used to prevent damage, there are less issues then when using it do charge on behaviour or detect fraud/guilt. The second main point is that user acceptance is key to successfully use IoT-like data in the insurance sector. Better involve user experts, marketing people and privacy-technology experts, and not (too many) lawyers.

Privacy, korting op verzekeringen en IoT

De laatste dagen is de nodige aandacht in de media geweest over Achmea die privacy-gevoelige gegevens wil gebruiken om korting te geven op verzekeringen (NOSFD). De reacties waren her en der toch wel ronduit negatief, zoals bij de NOS: “Recht op privacy straks alleen voor de rijken”. Niet zo veel negatieve media aandacht als ING die over bancaire bankdata wou delen (maart 2014), maar toch.

Dat verzekeringen goedkoper of duurder zijn afhankelijk van het risico dat de verzekeraar denkt te lopen is al heel lang (altijd?) zo, denk aan aantal kilometers dat je beweert te rijden voor je autoverzekering. Hier hebben ook weinig mensen moeite mee. Als de verzekeringssector dit preciezer gaat doen, gebruik makend van de kansen die Internet of Things (IoT) biedt, dan lijkt me dit een goede maatschappelijke discussie waard. Waarom dit nu meer in de media komt rondom Achmea weet ik eigenlijk niet: dergelijke verzekeringen zijn er al langere tijd. Een voorbeeld zijn de autoverzekeringen die met een kastje in je auto bijhouden hoeveel je rijdt en ook hoe je rijdt, zoals Fairzekering van Nationale Nederlanden en CarKroodle van Aegon of, uit de UK, met de opvallende naam Drive like a girl. Hierover heb ik veel minder in de kranten zien staan, terwijl Fairzekering zelfs de winnaar was van de Generali Innovatieprijs in 2014.

Los van de actualiteit van de media aandacht, past bovenstaande in de trend dat Internet of Things technologie zijn weg aan het vinden is in de verzekeringssector. Met IoT kunnen allerlei sensoren gebruikt worden om niet alleen kosten te besparen, maar ook om nieuwe business modellen mogelijk te maken. Dit zou meer evolutionair kunnen gaan, maar ook meer revolutionair.

Eerder dit jaar heb ik mijn perspectief over de kansen en uitdagingen die IoT biedt voor (niet-zorg) verzekeringen mogen delen in een sessie met een groep verzekeraars. Ik heb de kansen gecategoriseerd en ingedeeld naar oplopende privacy uitdaging:

  1. Risico’s verlagen, door schade te voorkomen of reduceren, bijvoorbeeld connected brandmelders in huizen. Hier zal vrijwel niemand tegen zijn.
  2. Prijs afhankelijk maken van hoeveel gebruik, bijvoorbeeld van het aantal kilometers dat iemand rijdt in een auto.
  3. Prijs afhankelijk maken van ‘veilig’ gedrag, bijvoorbeeld of iemand rustig rijdt.
  4. Fraude of schuld bepalen, bijvoorbeeld hoe hard iemand reed voordat die persoon de bocht uitvloog.

Wil de verzekeringssector de kansen die IoT biedt pakken dan zullen ze de privacyuitdagingen erg serieus moeten nemen. Drie belangrijke uitgangspunten hierbij zijn wat mij betreft:

  1. Het gaat primair om gebruikersacceptatie, niet om wetgeving. Iets wat juridisch mag maar mensen creepy vinden gaat mislukken!
  2. Gebruikersacceptatie vereist transparantie, echte consent en een win-win waarbij ook de consument een duidelijk voordeel ziet. En er zullen mensen zijn die dit niet willen, en die moeten de reële optie houden te weigeren.
  3. Goed gebruik van privacy-enhancing technologies en privacy-by-design, zodat de privacy sensitiviteit gereduceerd wordt. Dit is niet triviaal overigens, er zullen complexe afwegingen komen.

Naast de privacy discussie ben ik ook benieuwd of het gaat leiden tot minder schade. Oftewel, leidt korting geven aan mensen met een ‘veiliger’ gedrag alleen tot meer differentiatie in tarieven, en betalen mensen die meer schade veroorzaken of hun privacy-gevoelige data niet willen delen, uiteindelijk simpelweg meer premie? Of zorgt het er (ook) voor dat mensen zich veiliger gaan gedragen en er dus minder schade is, omdat ze het vrij direct in hun portemonnee voelen? We gaan het zien.

NFC Passport Reader in the Accenture Innovation Awards



InnoValor’s NFC Passport Reader (UK | NL) participates in the Accenture Innovation Award. These are organised yearly in the Netherlands (maybe also elsewhere ?) with a wide variety of concepts entering. Our submission is here (in Dutch). There is a possibility to vote, through social login (broadcasting this in your social network is optional). We of course appreciate your vote!

I wrote a more extensive blog on this in Dutch on the InnoValor website. And do try the demo app in the Google Play Store.

Banks as identity providers?


Last week I presented on why banks should or shouldn’t become identity providers. This was during a gathering of PIMN / ECP, a Dutch community on digital identity related matters. The subject was eID developments in the Netherlands, with also talks on a.o. Remote Document Authentication (by RDW, as step-up authentication for DigiD, together with DUO), IMRA (by Radboud University, applying Idemix in a mobile setting) and NotarisID (public notaries as identity providers). RDA we’re currenty involved in, IRMA and NotarisID we were in earlier stages, and it was interesting to see where these are heading.

Getting back to banks as identity providers, also known as BankID. This is again, or still, a hot subject in the Netherlands since the banking sector is considering this. Not for the first time. The first time I’m aware of was in 2004 (with SURFnet). And in 2010 I was heavily involved in the cidSafe project which tried to define a trust frameworks in which banks would offer their online banking identities to insurance companies (and others).

Read the rest of this entry »

FIDO and its place in the eID ecosystem



FIDO stands for Fast Identity Online. FIDO is a new authentication specification that makes it easier to integrate with and re-use non-password authentication means: what-you-have and what-you-are. The specification was published in a v1.0 version last December by the FIDO Alliance, which unites an impressive list of large companies (e.g., Microsoft, Google, Samsung) and smaller authentication companies (e.g., Authasas, Yubico, Nok Nok Labs) to “define an open, scalable, interoperable set of mechanisms that supplant reliance on passwords to securely authenticate users of online services”.

Last Friday (23 January 2015) PIMN organized a seminar on FIDO,  which was fully booked with a waiting list even. In this blogpost I’ll summarize what I learned and what I presented on “FIDO and its place in the identity ecosystem”.

Read the rest of this entry »

Re-usable identities instead of different passwords everywhere



Below is a blog post in Dutch on re-usable identities instead of different passwords for all websites. The trigger for the blogpost is that Hold Security released the Dutch (or actually, .nl) part of the logindata/emailadresses that they discovered to be hacked. The NCSC (National Dutch Cyber Security Centre) IMHO focusses to much on educating users to prevent this, contrary to fnding/promoting solutions such as re-usable identities, including the Dutch eID Stelsel NL (similar to NSTIC in the US).

Read the rest of this entry »


Get every new post delivered to your Inbox.