Videbimus

Van wie is de login? Het gebruiksgemak is het smeermiddel en de beveiliging is het excuus

Lode Goukens

Eerder verschenen in Civis Mundi Digitaal #58 op 5 mei 2018.

De burger is zich onvoldoende bewust van één enorm privacy-probleem dat zelfs met het nu zo krampachtig geprezen Europese GDPR in mei niet zal verdwijnen: universal login systems (ULS).

Bijna niemand buiten het ICT-wereldje hoorde al van ULS en politici liggen er daarom uiteraard niet wakker van, maar het is niet anders dan de bekende “Log in with Facebook” of “Log in with Google” die op steeds meer websites staat en die het eindeloos invullen van formulieren helpt voorkomen en het onthouden van login en wachtwoorden (paswoord is overigens geen goed Nederlands hoewel vooral de overheid en de scholen dat niet lijken te weten). Handig allicht, maar levensgevaarlijk en bovendien bron van misbruiken waar de burger nog nooit van hoorde of zelfs maar over nadacht.

Wees nochtans op uw hoede. Facebook en Google zijn verreweg de meest populaire manieren van inloggen zodra die optie verschijnt. Volgens onderzoek blijkt dat Facebook 62% van alle “social log-ins” voor zijn rekening neemt.  Het handelt hier over tienduizenden websites wereldwijd.  Google is amper goed voor 24%. De gegevens zijn afkomstig van het gespecialiseerde bedrijf Gigya. Dit onderdeel van SAP is wat men een customer identity management company noemt. Uit een marktonderzoek door Forrester Research voor de professionele oplossingen (dus geen Facebook en Google spielerei) bleek Gigya toevallig het beste gepositioneerd om dergelijke uitspraken te doen.[i]

grafiek uit onderzoek Forrester {Maxim, June 15`, 2017 #91}

Ook via diens Amazon-account kan de gebruiker inloggen bij bijvoorbeeld Goodreads. De gebruiker kwam allicht ook op andere manier al in aanraking met het fenomeen via zijn Adobe ID of zijn Microsoft 365-identiteit. Niet universeel maar wel voor alle produkten van die bedrijven. Ook Canon voerde een systeem voor zijn klanten in. Het fenomeen zal niet weg gaan en enkel maar aan belang winnen naarmate bedrijven en overheden hun greep op de burgers/werknemers/studenten wil vergroten. Het gebruiksgemak is het smeermiddel en de beveiliging het excuus. De cloud maakt enerzijds dergelijke identiteitsbeheer noodzakelijk, maar de cloud is een strategie om klanten in een wurggreep te nemen. Door de cloud zal de klant even panisch worden wat betreft zijn toegang tot die toepassingen, als voor het afsluiten van stromend water, gas of elektriciteit. Dit geeft de aanbieders een ongekende macht over de klantenrelatie.

inloggen via Amazon, Twitter, Facebook of Google.
de ontwikkelomgeving om ULS met Amazon te bouwen

Het verkoopargument is het reduceren van registration friction. De andere argumenten zoals verbeterde beveiliging en schaalbaarheid (security and scalability) en beperktere kosten qua infrastructuur en operationele uitgaven. Amazon beweert bijvoorbeeld “less time building a user management system and more time building your product”. Amazon bouwt verder op OAuth 2.0: “which has been broadly adopted for user-authorized exchanges across sites”.

Het ultieme lokmiddel is echter dat klanten van Amazon, Facebook, Twitter en Google gelokt kunnen worden. Met dat verschil dat natuurlijk de gebruikers van Facebook, Twitter of Google bezwaarlijk als “klanten” kunnen beschouw worden. In Nederland kan een gebruiker zijn Bol.com-account koppelen aan bijvoorbeeld Kobo (eboeken).

Wie dacht dat het een randfenomeen is, vergist zich mateloos. De OpenID Foundation bijvoorbeeld is een initiatief van Paypal, Google, Microsoft, Oracle, Cisco enzovoort.[ii] Het Nederlandse eHerkenning van de Rijksoverheid is een veel beter alternatief.[iii] eHerkenning is een initiatief van de Rijksoverheid voor veilig inloggen bij (overheids)organisaties, speciaal voor bedrijven. De website meldt: “Ondernemers of medewerkers van een organisatie kunnen zich met één inlogmiddel veilig en eenvoudig online identificeren bij verschillende organisaties. Zij hoeven hierdoor niet steeds opnieuw wachtwoorden aan te vragen en te onthouden.”

Seeing a good friend leave

Seeing a good friend leave has never been a good thing and this is definitely not the type of experience we want you to have.”  Dergelijke bespottelijke e-mails heeft elke lezer recent wel eens ontvangen van een zogenaamde klantendienst of “support”-afdeling. Los van het feit dat die support de berichten meestal niet met een naam ondertekent ging het in die geval om “Aubrey V.” van Spotify. Negen kansen op tien een man in India, maar op het internet weet de gebruiker nooit of hij met een robot, hond of echte persoon communiceert. Helaas is communiceren niet het juiste woord bij de support van zowat alle bedrijven die beweren een helpdesk te hebben via het internet.

Bij communicatie wisselen zender en ontvanger informatie uit. Wat ondergetekende opvalt is dat de ontvanger bij het bedrijf of het nu MicrosoftAdobe, Spotify, een bank, een telefoonbedrijf of een elektramaatschappij is, blijkbaar nooit lezen wat het probleem is. Bij Adobe begon ondergetekende vorig jaar zelfs te vermoeden dat de Indiër aan de andere kant van een chatsessie een robot bleek. Gelukkig bevestigde de man dat hij wel degelijk menselijk was en raakte het probleem (dat al dagen niet opgelost geraakte omdat de helpdesk de gebruiker in cirkeltjes liet lopen) alsnog opgelost. Dit was een memorabel moment want meestal lijkt het enige doel van helpdesks dat de klant het uiteindelijk opgeeft.

De afgelopen dagen was het weer prijs en dit keer bij Spotify. Een bedrijf dat zich profileert als Zweeds, maar in alle opzichten Amerikaans blijkt. Te beginnen met een absoluut gebrek aan klantvriendelijkheid. De ondertussen internationale trend dat de klant eigenlijk maar een noodzakelijk kwaad is en liefst aan het lijntje gehouden wordt.  Beter nog de klant dient dermate gefrustreerd door schofferende no-reply-adressen, hyperlinks die nooit naar oplossingen of beloofde informatie leiden of formulieren die niet invulbaar blijken door foutmeldingen, dat hij of zij uiteindelijk de handdoek in de ring gooit, hetzij de beurs open trekt.

Het probleem van ondergetekende is dat hij bij een moment waar de flight or fight reflex optreedt, meestal in een woeste krijger verandert. Een lang lijst donquichotterieën die het pad naar de hel helpen plaveien sieren zijn cv.

Het probleem dit keer is het in navolging van Lubach weer opzeggen van een Facebook-account (die toch maar tijdelijk onder druk van de universiteit in gebruik genomen was). Een pervers effect van die bevrijding van Facebook leverde meteen problemen op met Spotify, Soundcloud enzovoort. Door de universele login bleek dat de account van de gebruiker bij Spotify niet kan aangepast worden. Een eenvoudig ding als de universele login met Facebook vervangen door één via e-mail-adres (zelfde als op Facebook) en een wachtwoord. Wat een eenvoudige aanpassing in de instelling zou moeten zijn, bleek onoverkomelijk.

Ten eerste bleek het onmogelijk contact met Spotify op te nemen. De website stuurt de gebruiker van het kastje naar de muur. In essentie komt het er op neer dat net als bij Apple de consument zijn toevlucht moet zoeken tot een “community”. Op zich eigenlijk reden genoeg om een bedrijf buiten te schoppen. Stel een winkelier voor die tegen een klant met een kapot toestel zou zeggen: “kijk eens op internet of u geen andere klanten van me vindt die u kunnen uitleggen hoe u dat oplost”.

Wie is eigenaar van klantrelatie?

Kort samengevat komt het er op neer dat de klant geen eigenaar is van zijn eigen account, maar dat Spotify of Facebook zich eigenaar beschouwen van het gratis abonnement dat de consument aanging via een universele login. De klant kan willen, maar heeft geen enkele inspraak in dit onderwerp. Hij kan zijn “account” niet aanpassen. Hij is geen eigenaar van zijn afspeellijsten (zelfs niet van zijn eigen muziek in iTunes die Spotify toevoegde aan de afspeellijsten. De consument deelde dus zijn gehele muziekverzameling op iTunes en online met Facebook en Spotify. De contacten en de volgers en volgenden zijn evenmin het bezit van de consument. Los van het feit of dit een inbreuk op de privacy zou zijn of zelfs of het juridisch steek houdt, weigert Spotify die vraag te beantwoorden en oplossen doen ze het al evenmin.

Uiteindelijk is de eenvoudigste oplossing de Spotify-account voorgoed te wissen. Althans als dat ook niet zo’n crime zou blijken. Het recent beursgenoteerde bedrijf wil natuurlijk niet dat het aantal abonnees daalt, al zijn het dan geen betalende zoals zowat iedereen. Voor de die schijngebruikers ontwierpen ze een hele strategie om het wissen nog erger te ontmoedigen. Zonder google af te zoeken bleek de plek waar de account op Spotify gewist kan worden onvindbaar op de website van Spotify. Gelukkig zijn er boze gebruikers die dit wel delen.

een compleet overbodig venster voor wie wil afsluiten
snel nog even wat chantagepogingen
nog wat obstakels om de klant tegen te houden

Dus nu moet de consument via de e-mail waar Spotify niet mee kan verifiëren of de klant de eigenaar is om dus met dat e-mail-adres in te loggen in plaats van via Facebook dat hetzelfde e-mail-adres gebruikt, bevestigen dat hij weg wil! Na het klikken op die link in dat e-mailbericht verschijnt dan scherm nummer vijf.

“we zullen je missen”

En toch probeert Spotify nog eens met een compleet overbodige tranerige e-mail. Bijna stalking.

de tranerige overbodige e-mail

De vraag is of Spotify de gegevens wiste. Volgens de Europese wetgeving zijn ze dat verplicht, maar zoals ook Facebook daar vierkant zijn voeten aan veegt zou ik er niet op rekenen. Jaren geleden vernietigde ondergetekende zijn Facebook-account. Na ettelijke ongewenste e-mails van Facebook diende hij een klacht in bij de Privacycommissie en die verzekerden dat alles gewist was. Toen er weer e-mails aankwamen bevestigde de Privacycommissie opnieuw na een nieuwe klacht dat Facebook alles gewist had. Tot de universiteit voor een cursus eiste om via Facebook te communiceren en wat bleek alles stond er nog op enkele “vrienden” die niet meer bevriend waren. Zelfs de destijds geblokkeerde trollen waren nog geblokkeerd. Facebook had al die jaren keihard gelogen tegen de overheid (want dat is de Privacycommissie).

De grote vraag bij universal login systems is dus wie is eigenaar van de voorkeuren, de klantrelatie (zelfs bij gratis account) of zelfs een derde zoals Facebook die die universal login faciliteert. Het is een privacy-probleem en het is een juridisch probleem dat onder de radar vliegt. Het wordt stilaan tijd dat de burger zijn rechten opeist en paal en perk stelt aan het usurperen van zijn identiteitsgegevens door commerciële spelers. Het Zweedse Spotify mag dan denken dat het dankzij een beursnotering in New York boven GDPR staat of zelfs boven heel logische zaken zoals de autonomie van de klant om zelf te beslissen hoe hij inlogt.[iv] Indien de Europese overheden zaken zoals eHerkenning belangrijk genoeg vinden voor hun economie, waarom dan geen vergelijkbaar systeem voor hun burgers opzetten of die burgers Diets maken dat ULS gevaarlijk kan worden.

[i] {Merritt, June 15`, 2017 #91}

[ii] http://openid.net/foundation/sponsoring-members/

http://www.idnext.eu/en/events/annual-idnext-2018/digital-identity-innovation-award/

[iii] https://www.eherkenning.nl/aansluiten-op-eherkenning/algemeen/over-eherkenning/

[iv] https://www.marketwatch.com/story/spotify-ipo-5-things-to-know-about-the-streaming-music-giants-direct-listing-2018-03-02

https://www.ft.com/content/e0e57248-2376-11e8-ae48-60d3531b7d11

https://www.digitaltrends.com/music/is-spotify-too-big-to-fail/

Lode Goukens

, , , , ,

Een reactie achterlaten