Juridische vraag: mag je het Burgerservicenummer kopiëren
woensdag 19 juni 2013, 11:58 door Arnoud Engelfriet, 38 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: In de discussie van je vraag van vorige week reageerde je "het is juist het BSN dat je eigenlijk nooit mag kopiëren of noteren! Dat nummer mag alléén worden gebruikt als de wet dat expliciet toestaat." Kun je dat toelichten?
Antwoord: Het antwoord is eigenlijk simpel: Tenzij in de wet staat dat iemand het BSN móet vragen en administreren, mag men helemaal niets met het BSN. Maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.
Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.
Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.
Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.
Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe "recht hebben versus recht krijgen". Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je "zonder die gegevens kan ik helaas uw transactie niet afronden" en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of wat de winkel maar bedacht had dat ze je BSN wel handig voor vonden.
Het is buitengewoon frustrerend, ik loop er zelf ook met enige regelmaat tegenaan. Moet je je nu echt elke keer als boze principiële privacygast voordoen om gewoon je wettelijk recht te halen?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (38)
Het is dus zaak om in betreffende gevallen altijd te klagen. Als iedereen het maar gedoogt zal het nooit veranderen!
Nee hoor. Helemaal niet boos. Maar erg duidelijk in zijn: Krijgt U niet.
Dat is hetzelfde met pinnen afdwingen. Deed een supermarkt hier in de buurt ook. Blijkbaar was ik niet de enige die de boodschappen aan de kassa liet staan met 'succes er dan maar mee', want er is nu nog maar 1 'pin kassa' en die is bijna altijd gesloten...
Dat is hetzelfde met pinnen afdwingen. Deed een supermarkt hier in de buurt ook. Blijkbaar was ik niet de enige die de boodschappen aan de kassa liet staan met 'succes er dan maar mee', want er is nu nog maar 1 'pin kassa' en die is bijna altijd gesloten...
Moet je je nu echt elke keer als boze principiële privacygast voordoen om gewoon je wettelijk recht te halen?
Doe je het, dan ben je gek. Doe je het niet, dan raken we uiteindelijk allemaal onze privacy kwijt.Het punt is natuurlijk dat dit wettelijk recht maar heel zwak is in het licht van al die andere verplichtingen die de wet je ook maar gemakshalve even oplegt, en daarmee is deze situatie net zo goed de wet (en de wetgever, en daarmee de beleidsmakers, ambtenaren en politici, en dus de voor-het-volk-werkenden en de volksvertegenwoordigers, en uiteindelijk in democratische theorie het volk, ons allemaal) zijn schuld.
Dus totdat we met z'n allen doorkrijgen dat dit niet zo langer kan en dus echt anders moet, totdat we de boel beter inrichten, totdat we op een goede manier van deze kat-op-het-spek-situatie afgeraken, ja, je bent het eigenlijk aan de toekomst van onze samenleving verplicht om voor gek te staan.
En om het allemaal nog veiliger te maken moeten ZZPers als BTW nummer gebruik maken van het volgende recept
BTW = 'NL' + BSN + 'B01'
En het BTW nummer moet op elke uit te schrijven facturen staan.
(niet verder vertellen natuurlijk)
BTW = 'NL' + BSN + 'B01'
En het BTW nummer moet op elke uit te schrijven facturen staan.
(niet verder vertellen natuurlijk)
Voorstel aan de kamerleden:
We moeten 6 miljard op het de uitgaven corrigeren. Voer een wet in, waarbij het onrechtmatige gebruik van het BSN met een geldboete wordt bestraft en laat die boete gelden per afzonderlijk vastgelegd BSN.
Zo dit is een argument waar politici gevoelig voor zijn én het heeft het gewenste doel, dat niet iedereen meer te hooi en te gras het BSN wil hebben.
We moeten 6 miljard op het de uitgaven corrigeren. Voer een wet in, waarbij het onrechtmatige gebruik van het BSN met een geldboete wordt bestraft en laat die boete gelden per afzonderlijk vastgelegd BSN.
Zo dit is een argument waar politici gevoelig voor zijn én het heeft het gewenste doel, dat niet iedereen meer te hooi en te gras het BSN wil hebben.
19-06-2013, 13:55 door
Whacko
Moet je je nu echt elke keer als boze principiële privacygast voordoen om gewoon je wettelijk recht te halen?
Eigenlijk wel ;) Nee, maar je kunt mensen weil inlichten erover. Misschien dat ze dan zelf ook vragen gaan stellen, en er misschien wat verandert. Zolang dit niet groots in het nieuws komt, door een of ander schandaal (identiteitsfraude???) zal hier niet snel verandering in komen.
19-06-2013, 14:57 door
schele
En wat is het probleem met je voordoen als principiele privacygast? Verschil is stampvoetend eisen dat je geen nummer hoeft te geven of vriendelijk de discussie aangaan en uitleggen waarop dat gebaseerd is. En bereid zijn om een dienst te weigeren als je toch je gegevens moet geven natuurlijk.
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Helaas niet...
Door schele: En wat is het probleem met je voordoen als principiele privacygast? Verschil is stampvoetend eisen dat je geen nummer hoeft te geven of vriendelijk de discussie aangaan en uitleggen waarop dat gebaseerd is. En bereid zijn om een dienst te weigeren als je toch je gegevens moet geven natuurlijk.
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Nee, dat van die ZZPers en BSN nummer als BTW nummer is geen grapje.
zzp'er
zzp'er
19-06-2013, 15:36 door
TD-er
Door schele: [....]
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Nee, helaas niet. http://nl.wikipedia.org/wiki/Burgerservicenummer#Btw-nummerBtw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Je kunt zelfs een inschatting maken of je te maken hebt met iemand die eens in de zoveel jaar z'n bedrijf weer failliet "moet" laten gaan wegens winstoptimalisatie. "Hallo hier B-een-nul-nul" ;)
Door schele: En wat is het probleem met je voordoen als principiele privacygast? Verschil is stampvoetend eisen dat je geen nummer hoeft te geven of vriendelijk de discussie aangaan en uitleggen waarop dat gebaseerd is. En bereid zijn om een dienst te weigeren als je toch je gegevens moet geven natuurlijk.
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Btw: dat van die ZZPers en BSN nummer als BTW nummer is toch een grapje hoop ik?
Helaas, nee dit is de realiteit, een handig dingetje van/voor de fiscus.
19-06-2013, 15:39 door
privacy4all
Ondertussen zijn we zo ver dat het BSN niet meer als privacy-item aangemerkt kan worden (zie ook anoniem @ 12:52 met BSN nummer als BTW nummer).
Juist door het aan iedereen weg te geven is het meer een makkelijk nummer voor de administratie en verliest het zijn kracht waardoor het niet meer als uniek identificerend item kan worden gebruikt.
Nu moet dan wel de mogelijkheid bestaan om (relatief) eenvoudig van BSN nummer te veranderen wanneer misbruik is geconstateerd en hier wringt de schoen nog, zover ik weet ...
Juist door het aan iedereen weg te geven is het meer een makkelijk nummer voor de administratie en verliest het zijn kracht waardoor het niet meer als uniek identificerend item kan worden gebruikt.
Nu moet dan wel de mogelijkheid bestaan om (relatief) eenvoudig van BSN nummer te veranderen wanneer misbruik is geconstateerd en hier wringt de schoen nog, zover ik weet ...
19-06-2013, 17:37 door
schele
Wow. Ben zelf ZZPer in BE, vandaar dat ik dit niet wist.
Arnoud, ik ben heel nieuwsgierig hoe dat te rijmen is met de WBP? Hoe kan je nu aan de ene kant strenge vereisten stellen aan de verwerking van het BSN nummer als iedere ZZPer tegelijk verplicht is het overal waar hij z'n BTW nummer moet ingeven in feite dus ook zn BSN nummer in te vullen?
Arnoud, ik ben heel nieuwsgierig hoe dat te rijmen is met de WBP? Hoe kan je nu aan de ene kant strenge vereisten stellen aan de verwerking van het BSN nummer als iedere ZZPer tegelijk verplicht is het overal waar hij z'n BTW nummer moet ingeven in feite dus ook zn BSN nummer in te vullen?
Deze week stond er een mannetje van Vodafone (iig ingehuurd door VF) aan de deur voor een kopietje identificatie voor het nieuwe abonnement van mijn vriendin. Ik moet zeggen dat ze dat daar tegenwoordig heel netjes doen, want je identificatie wordt in een template gestopt die zaken als pasfoto en bsn afdekt, daarna wordt er een scan gemaakt.
19-06-2013, 18:07 door
Arnoud Engelfriet
@schele: Dit is een gevalletje "staat in de wet dat het moet". De fiscale wet in Nederland eist dat je een BTW nummer op je facturen zet, en dat de ontvanger die factuur administreert. In theorie is dat geen probleem omdat het verboden is het BSN uit dat BTW nummer te plukken en elders te gebruiken.
In 2011 zijn daar Kamervragen over gesteld, maar verder dan "ja, dat is nu eenmaal zo" komen de antwoorden niet.
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/05/25/antwoorden-op-kamervragen-over-het-bsn-nummer/antwoorden-op-kamervragen-over-het-bsn-nummer.pdf
Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.) Misschien is de gedachte dat ze zo de BTW en de winst uit onderneming direct bij je overige inkomsten kunnen harken met één nummer (zoals inkomen uit dienstverband). Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
In 2011 zijn daar Kamervragen over gesteld, maar verder dan "ja, dat is nu eenmaal zo" komen de antwoorden niet.
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/05/25/antwoorden-op-kamervragen-over-het-bsn-nummer/antwoorden-op-kamervragen-over-het-bsn-nummer.pdf
Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.) Misschien is de gedachte dat ze zo de BTW en de winst uit onderneming direct bij je overige inkomsten kunnen harken met één nummer (zoals inkomen uit dienstverband). Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
Door Arnoud Engelfriet: @schele: Dit is een gevalletje "staat in de wet dat het moet". De fiscale wet in Nederland eist dat je een BTW nummer op je facturen zet, en dat de ontvanger die factuur administreert. In theorie is dat geen probleem omdat het verboden is het BSN uit dat BTW nummer te plukken en elders te gebruiken.
Mooi voorbeeldje hoe zulke theorie volstrekt van de pot gerukt is. Ik bedoel, iedere jandoedel kan zien dat dit het equivalent is van alle gevangenisdeuren open laten staan, alle controle opheffen, en dan zeggen "niet weglopen hoor".Er zijn er vast die zich er aan houden, maar je hoeven er maar een paar lak aan zulke overduidelijk slappe regels te hebben om serieuze problemen voor een hele hoop mensen te creeren. En dat gebeurt dan dus ook al.
In 2011 zijn daar Kamervragen over gesteld, maar verder dan "ja, dat is nu eenmaal zo" komen de antwoorden niet.
Kamerleden die zich zo met een kluitje het riet in laten sturen doen hun werk niet naar behoren.Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. [...] Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
Persoonlijk vind ik dat soort redenen niet relevant. Dan had je maar een ander systeem moeten bedenken, eentje die dat probleem niet kent. Maar zoals eerder gezegd, privacy leeft daar gewoon niet. Het gaat om "handig", en dat terwijl ze zelf ook regelmatig op de muil gaan wegens de zoveelste computer-, proces-, of algehele abjectiefaal.Ik denk dat we een privacyminister nodig gaan hebben. Hoeft geen groot departement te zijn, moet wel botte bijlmandaat hebben om om het even wat, hoe groot, hoe belangrijk, hoe kostbaar, hoe pijnlijk de gevolgen ook, alles wat niet kan gewoon subiet te verbieden en verzin maar wat anders. Anders gebeurt er gewoon niets.
Eventueel combineren met een nutteloze-wetten-opzoek en -opdoekdepartement zoals de Belgen hadden.
Door Arnoud Engelfriet: Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.) Misschien is de gedachte dat ze zo de BTW en de winst uit onderneming direct bij je overige inkomsten kunnen harken met één nummer (zoals inkomen uit dienstverband). Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
Automatiseringstechnisch stelt het natuurlijk geen ene ruk voor om de koppeling tussen BTW-nummer en BSN in een database vast te leggen en de nummering wel onafhankelijk te maken.Ik vraag me overigens af of het werkelijke probleem niet is dat een BSN gebruikt kan worden voor identiteitsdiefstal. Wie is op het onzalige idee gekomen dat een simpel *nummer* met wat andere, nog makkelijker te achterhalen gegevens iemands identiteit vaststelt? Waarom nog moeite doen paspoorten moeilijk vervalsbaar te maken als iemand door een nummer over te schrijven van alles in de naam van een ander voor elkaar kan krijgen? Degene wiens identiteit is misbruikt zou zijn schouders op moeten kunnen halen en zeggen: "stom van je dat je daar in bent getrapt".
Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.)
Als BV eigenaar kan ik vertellen dat mijn privé aangifte door de zelfde belasting afdeling behandeld wordt als de afdeling die de BV controleert. Dus bij de belastingdienst zijn die nummers goed te koppelen. Dus er is geen enkele reden om de nummers ook niet bij ZZP'ers te scheiden. Als het bij een groep kan, moet het ook elders kunnen.@ Arnoud
In welke gevallen is het achterlaten van een pasfoto (eventueel d,m,v, een kopie) niet verplicht?
Ook afbeeldingen van personen kunnen immers een eigen leven gaan leiden.
Het zou wel prettig zijn als er ooit een duidelijk lijstje verschijnt wanneer een BSN en/of persoonsafbeelding wel of niet verplicht is.
In welke gevallen is het achterlaten van een pasfoto (eventueel d,m,v, een kopie) niet verplicht?
Ook afbeeldingen van personen kunnen immers een eigen leven gaan leiden.
Het zou wel prettig zijn als er ooit een duidelijk lijstje verschijnt wanneer een BSN en/of persoonsafbeelding wel of niet verplicht is.
20-06-2013, 00:03 door
schele
Door Arnoud Engelfriet: @schele: Dit is een gevalletje "staat in de wet dat het moet".
Ik begrijp dat dat de reden is waarom je het er als ZZP-er mee moet doen. Maar het een nummer BTW nummer noemen verandert niet dat je een BSN nummer erin hebt zitten. Maw, iedereen die een bestand bijhoudt waar BTW nummers in zitten (en een paar ZZP-ers) is bezig BSN nummers te verwerken. Of is wettelijk omschreven dat BTW nummer enkel BTW nummer is en geen BSN, ookal is het dat in die gevallen wel natuurlijk?
En dan hebben we het nog niet over het recept voor identiteitsdiefstal: bij de doorsnee call centers kun je met BSN nummer, adres, geboortedatum al aardig wat voor elkaar krijgen. Geboortedatum is dan ergens anders vandaan te halen maar toch.
Ter vgl met BE: mijn btw nummer is willekeurig nummer. Het rijksregisternummer (BSN in BE dus) bevat dan wel weer je geboortedatum, ook niet handig.
Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken.
Dat zwartwerken is een mooie bijkomstigheid. Primair is dat BSN nummer nodig om de afgedragen loonbelasting voor de werknemer aan fiscus te kunnen doorgeven. Als bedrijf maak ik maandelijks één bedrag over voor alle werknemers tegelijk en vadertje staat moet natuurlijk weten op wiens namen deze voorbelasting heeft plaatsgehad.
20-06-2013, 07:54 door
Arnoud Engelfriet
@Anoniem 22:45: Voor een foto gelden de 'gewone' regels van de Wbp, die mag je verzamelen met toestemming of als het nodig is voor een contractuele verplichting of eigen dringende noodzaak waarbij je niet zonder foto kunt werken. Als bv. voor toegangscontrole een pasje noodzakelijk is, dan is een redelijke eis dat daar een foto op komt te staan. Dus dan mag men eisen dat je een foto afgeeft.
Kopie van ID (minus BSN) mét foto zou ook als zo'n toeganscontrolemiddel kunnen gelden, de bewaking vergelijkt jouw gezicht dan met dat van het ID in zijn systeem.
Afgezien daarvan kan ik er zo geen bedenken, maar in theorie kan het als je antwoord hebt op de vraag "waarom móet dat nou met foto".
Kopie van ID (minus BSN) mét foto zou ook als zo'n toeganscontrolemiddel kunnen gelden, de bewaking vergelijkt jouw gezicht dan met dat van het ID in zijn systeem.
Afgezien daarvan kan ik er zo geen bedenken, maar in theorie kan het als je antwoord hebt op de vraag "waarom móet dat nou met foto".
Door Arnoud Engelfriet: @schele: Dit is een gevalletje "staat in de wet dat het moet". De fiscale wet in Nederland eist dat je een BTW nummer op je facturen zet, en dat de ontvanger die factuur administreert. In theorie is dat geen probleem omdat het verboden is het BSN uit dat BTW nummer te plukken en elders te gebruiken.
In 2011 zijn daar Kamervragen over gesteld, maar verder dan "ja, dat is nu eenmaal zo" komen de antwoorden niet.
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/05/25/antwoorden-op-kamervragen-over-het-bsn-nummer/antwoorden-op-kamervragen-over-het-bsn-nummer.pdf
Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.) Misschien is de gedachte dat ze zo de BTW en de winst uit onderneming direct bij je overige inkomsten kunnen harken met één nummer (zoals inkomen uit dienstverband). Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
In 2011 zijn daar Kamervragen over gesteld, maar verder dan "ja, dat is nu eenmaal zo" komen de antwoorden niet.
http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2011/05/25/antwoorden-op-kamervragen-over-het-bsn-nummer/antwoorden-op-kamervragen-over-het-bsn-nummer.pdf
Het is kennelijk niet efficiënt voor de Belastingdienst om een zzp'er een apart BTW nummer te geven. (Hoewel ze dat bij een BV prima kunnen.) Misschien is de gedachte dat ze zo de BTW en de winst uit onderneming direct bij je overige inkomsten kunnen harken met één nummer (zoals inkomen uit dienstverband). Waarom dat zwaarder moet wegen dan de privacy ontgaat me.
@Arnoud Een apart BTW nummer aan een BSN verbinden is natuurlijk ook gewoon met een simpele SQL query op te lossen voor de Belastingdienst. Daarmee zouden ze een betere bescherming bieden voor de burger met een eigen bedrijf.
Als ik ZZP'er zou zijn en er blijkt inderdaad dat via deze weg mijn BSN misbruikt wordt dan zou ik het zelfs wel aandurfen om de staat cq belastingdienst hiervoor aan te klagen wegens grove nalatigheid, het probleem is immers al jaren bekend en kan simpel opgelost worden.
Mocht ik ooit hier tegen aanlopen dan klop ik wel bij je aan!
Ik wilde een aantal jaar geleden bij MyCom een laptop kopen, bij de kassa wilde ze een kopie maken van mijn rijbewijs omdat ik met een creditcard betaalde. Dat heb ik natuurlijk geweigerd en vertelde ze dat ze hier en nu mijn identiteit vast konden stellen en dat ik geen kopie van mijn RB wilde laten maken. Het was natuurlijk policy en 'we moeten .... bla bla'.
Resultaat, geen laptop aan mij verkocht, ik ben gewoon vertrokken.
(Inmiddels is het beleid bij MyCom aangepast sinds je met een pincode je Creditcard valideerd i.p.v. een handtekening.)
Resultaat, geen laptop aan mij verkocht, ik ben gewoon vertrokken.
(Inmiddels is het beleid bij MyCom aangepast sinds je met een pincode je Creditcard valideerd i.p.v. een handtekening.)
Als je ID-fraude wilt voorkomen zul je met een ID-bewijs moeten komen die minder fraude gevoelig is.
Wanneer gaan we in NL nu een over op een eID? Vele landen in Europa zijn ons al voorgegaan.
Qua security lijken we een bananen-monarchie
Wanneer gaan we in NL nu een over op een eID? Vele landen in Europa zijn ons al voorgegaan.
Qua security lijken we een bananen-monarchie
Als ik mijn kinderen aanmeld voor een kinderdagverblijf of BSO dan moet ik de BSN's overleggen. Die moet dat bedrijf dan weer paraat hebben als de Belastingdienst bijvoorbeeld wil controleren of ik mijn toeslag wel correct aanvraag. Als ik een kind aanmeld bij school dan moet die het BSN hebben van dat kind. En liefst een kopie van het paspoort, en/of van mijn paspoort. Bij mijn ziektekostenverzekering worden onze BSN's gebruikt om ons apart te identificeren omdat we allemaal op hetzelfde polisnummer staan.
Onze nummers zijn bekend omdat we ZZpers zijn (zie bovenstaande verhalen) en volgens mij kan ik zo nog wel even doorgaan. Inderdaad is de grootste fout natuurlijk dat het BSN beschouwd wordt als "geheim dat mij en mij alleen identificeert".
Dat van mijn kinderen is dus nu al overal en nergens bekend, geen idee hoe die bedrijven en scholen er allemaal mee omgaan (waarschijnlijk kieperen ze de oude administratie gewoon in het oud papier). Als mijn kinderen volwassen zijn kan een ander hun BSN eenvoudig misbruiken maar volgens de wet kennen mijn kinderen het alleen zelf, ze moesten er immers zo zorgvuldig mee omgaan?
Als de overheid gewoon toegeeft dat het BSN nummer net zo openbaar is als NAW gegevens dan kun je je bij identiteitsfraude een stuk makkelijker verdedigen dan nu...
Onze nummers zijn bekend omdat we ZZpers zijn (zie bovenstaande verhalen) en volgens mij kan ik zo nog wel even doorgaan. Inderdaad is de grootste fout natuurlijk dat het BSN beschouwd wordt als "geheim dat mij en mij alleen identificeert".
Dat van mijn kinderen is dus nu al overal en nergens bekend, geen idee hoe die bedrijven en scholen er allemaal mee omgaan (waarschijnlijk kieperen ze de oude administratie gewoon in het oud papier). Als mijn kinderen volwassen zijn kan een ander hun BSN eenvoudig misbruiken maar volgens de wet kennen mijn kinderen het alleen zelf, ze moesten er immers zo zorgvuldig mee omgaan?
Als de overheid gewoon toegeeft dat het BSN nummer net zo openbaar is als NAW gegevens dan kun je je bij identiteitsfraude een stuk makkelijker verdedigen dan nu...
Door Anoniem: Als je ID-fraude wilt voorkomen zul je met een ID-bewijs moeten komen die minder fraude gevoelig is.
Wanneer gaan we in NL nu een over op een eID? Vele landen in Europa zijn ons al voorgegaan.
Qua security lijken we een bananen-monarchie
Jij denkt dat dat een beter idee is?Wanneer gaan we in NL nu een over op een eID? Vele landen in Europa zijn ons al voorgegaan.
Qua security lijken we een bananen-monarchie
Zo van, dat belgische pasje steek je in een lezert en je hebt een perfecte kopie van alle data die eropstaat, inclusief je huisadres. Jij vindt meer data, als electronische data en niet als plaatje, kopieeren een beter idee qua id-fraude voorkomen?
Door Anoniem: Deze week stond er een mannetje van Vodafone (iig ingehuurd door VF) aan de deur voor een kopietje identificatie voor het nieuwe abonnement van mijn vriendin. Ik moet zeggen dat ze dat daar tegenwoordig heel netjes doen, want je identificatie wordt in een template gestopt die zaken als pasfoto en bsn afdekt, daarna wordt er een scan gemaakt.
Dit is de partij DynaLogic en die hebben dit goed geregeld.
Door Anoniem:
Automatiseringstechnisch stelt het natuurlijk geen ene ruk voor om de koppeling tussen BTW-nummer en BSN in een database vast te leggen en de nummering wel onafhankelijk te maken.
Ik vraag me overigens af of het werkelijke probleem niet is dat een BSN gebruikt kan worden voor identiteitsdiefstal. Wie is op het onzalige idee gekomen dat een simpel *nummer* met wat andere, nog makkelijker te achterhalen gegevens iemands identiteit vaststelt?
Precies dat is de kern van het probleem. In Amerika doen ze ook altijd zo panisch over het uitlekken van hunAutomatiseringstechnisch stelt het natuurlijk geen ene ruk voor om de koppeling tussen BTW-nummer en BSN in een database vast te leggen en de nummering wel onafhankelijk te maken.
Ik vraag me overigens af of het werkelijke probleem niet is dat een BSN gebruikt kan worden voor identiteitsdiefstal. Wie is op het onzalige idee gekomen dat een simpel *nummer* met wat andere, nog makkelijker te achterhalen gegevens iemands identiteit vaststelt?
social security nummer.
Het probleem is niet dat er manieren zijn om iemands BSN te weten te komen, Dat houd je toch niet tegen.
En je kunt je BSN niet veranderen dus het hoeft maar 1 keer in je leven uit te lekken en dan zou je ene probleem hebben?
Nee, het probleem is dat je kennelijk iets kunt met een BSN. DAAR moet men wat aan doen. Een BSN zou niet
anders moeten zijn dan een telefoonnummer of een bankrekening nummer: een getal wat je zonder dat er consequenties
aan zitten gewoon aan een ander moet kunnen vertellen.
Laat men zich daar liever op focussen dan op allerlei manieren om die BSN geheim te houden. Want dat lukt toch niet.
@Arnoud,
mag je als bedrijf vragen om een kopie van een ID?
Dan levert de klant de kopie zelf aan?
Op de website van de CBP staat dat je als bedrijf niet mag 'kopieren' - nu bedoel ik dat de klant zelf een kopie meelevert.
En; als dat mag, moet je de klant er dan op wijzen dat de pasfoto + BSN afgeschermd moeten (of mogen?) zijn?
mag je als bedrijf vragen om een kopie van een ID?
Dan levert de klant de kopie zelf aan?
Op de website van de CBP staat dat je als bedrijf niet mag 'kopieren' - nu bedoel ik dat de klant zelf een kopie meelevert.
En; als dat mag, moet je de klant er dan op wijzen dat de pasfoto + BSN afgeschermd moeten (of mogen?) zijn?
27-06-2013, 09:53 door
Arnoud Engelfriet
@Anoniem 11:11 Ja, omdat die alleen wordt gebruikt in hun zorgverlening en daarbij moeten ze om je BSN vragen.
@Anoniem 13:54 Nee, het maakt niet uit of het bedrijf de kopie maakt of dit de klant laat aanleveren. Waar het om gaat is of je de gegevens mag opslaan. Of je nu een fotokopie maakt, het ding scant, met een mobieltje een foto maakt of handmatig alle gegevens overklopt; een BSN mag niet worden opgeslagen tenzij de wet zegt dat het móet.
Het CBP is wat informeel daar. Misschien hebben ze nooit gedacht dat een bedrijf zo bijdehand zou doen.
@Anoniem 13:54 Nee, het maakt niet uit of het bedrijf de kopie maakt of dit de klant laat aanleveren. Waar het om gaat is of je de gegevens mag opslaan. Of je nu een fotokopie maakt, het ding scant, met een mobieltje een foto maakt of handmatig alle gegevens overklopt; een BSN mag niet worden opgeslagen tenzij de wet zegt dat het móet.
Het CBP is wat informeel daar. Misschien hebben ze nooit gedacht dat een bedrijf zo bijdehand zou doen.
Beste Arnoud,
wat ik me nou afvraag, als een bedrijf een kopie legitimatie ontvangt (al dan niet zonder BSN, afgeschermde foto, watermerk dat het om een kopie gaat e.d.) - wat kan een bedrijf met deze gegevens?
Bestaan er echt bedrijven, die deze gegevens gaat controleren bij een gemeente loket, of een andere instantie? Bestaan er instanties waar je de 'echtheid' van een legitimatie bewijs kan controleren?
Ik bedoel, een beetje photoshopper zet zo zelf een 'vervalst document' in elkaar, hoe is dat voor bedrijven te controleren. Ik vermoed dat 99% van de bedrijven deze gegevens van het legitimatie helemaal niet doorneemt?
wat ik me nou afvraag, als een bedrijf een kopie legitimatie ontvangt (al dan niet zonder BSN, afgeschermde foto, watermerk dat het om een kopie gaat e.d.) - wat kan een bedrijf met deze gegevens?
Bestaan er echt bedrijven, die deze gegevens gaat controleren bij een gemeente loket, of een andere instantie? Bestaan er instanties waar je de 'echtheid' van een legitimatie bewijs kan controleren?
Ik bedoel, een beetje photoshopper zet zo zelf een 'vervalst document' in elkaar, hoe is dat voor bedrijven te controleren. Ik vermoed dat 99% van de bedrijven deze gegevens van het legitimatie helemaal niet doorneemt?
Als je een nieuwe id kaart aanvraagt verandert je bugerservicenummer dan ?
Andersom vind ik het ook wel spannend.
Probeer ik gisteren een afspraak voor mijn kind te maken bij een specialist. Vraagt de dame aan de telefoon om het BSN nummer en lepelt vervolgens alle gegevens op (naam, adres, geboortedatum, verzekeraar). Die vraagt ze ook niet aan mij ter verificatie, nee, die leest ze allemaal op om te vragen of het klopt. Ja klopt.
Wil je dus iemands gegevens hebben bij een BSN nummer, bel een orthodontist en doe of je een afspraak wilt maken...
En hoezo heeft zo iemand inzicht in al die gegevens?
Probeer ik gisteren een afspraak voor mijn kind te maken bij een specialist. Vraagt de dame aan de telefoon om het BSN nummer en lepelt vervolgens alle gegevens op (naam, adres, geboortedatum, verzekeraar). Die vraagt ze ook niet aan mij ter verificatie, nee, die leest ze allemaal op om te vragen of het klopt. Ja klopt.
Wil je dus iemands gegevens hebben bij een BSN nummer, bel een orthodontist en doe of je een afspraak wilt maken...
En hoezo heeft zo iemand inzicht in al die gegevens?
Ik haalde afgelopen week een pakje af bij DHL Parcel Shop, controle paspoort, pas afgeven, pasnummer werd genoteerd en dan nog eens tekenen, maar het was helemaal niet mijn paspoortnummer dat hij wilde noteren, maar mijn BSN nummer, toen ik de man er op aansprak, kwam er alleen maar uit, dat dat toch allemaal niets uitmaakte en zo, hij noteerde toen mijn pasnummer, ik zal in de toekomst geen gebruik meer maken van DHL.
DHL Parcelshop. Had dezelfde ervaring bij zo'n distributiepunt in een supermarkt. Bij het afhalen van een pakketje van Wehkamp overhandigde ik mijn rijbewijs. De jonge vrouw achter de toonbank zag dat ik mijn Burgerservicenummer had afgeplakt en vroeg of ze dat stripje mocht verwijderen. Ik maakte uiteraard bezwaar. Vervolgens vertelde ze me dat ze de laatste vier cijfers van mijn BSN nodig had. Anders kon ze mij het pakketje niet meegeven. Ik heb haar uiteindelijk de vier laatste cijfers gegeven. Ik vraag me echter af of dit normaal is. Een rijbewijs laat aan de hand van je foto zien dat jij het bent. En er staat ook een reeks getallen op de voorkant. Lijkt mij voldoende identiteitsbewijs. Leverancier Wehkamp gebeld, maar daar werd laconiek gereageerd. En als ik niet wilde dat ze mijn gegevens konden inzien, dan moest ik de spullen maar thuis laten bezorgen. Wehkamp en DHL beschikken allebei over al je gegevens. Samen met het Burgerservicenummer is de weg vrij voor identiteitsfraude. Er hoeft maar een (1) medewerker tussen te lopen die niet deugt. U bent gewaarschuwd.
Beste mensen,
Speel het spel mee en wind je verder niet al te veel op.
Verstrek die bedrijven gewoon jouw persoonlijke B e d r i j v e n Service Nummer dat voldoet aan de elfproef.
En als je vooraf wilt controleren of dat BSN voldoet aan de elfproef, dan check je dat op www.testnummers.nl
Alvast wat voorzetjes:
293797985, 695714995, 442455124, 505692314, 254541653
Go with the flow....
Speel het spel mee en wind je verder niet al te veel op.
Verstrek die bedrijven gewoon jouw persoonlijke B e d r i j v e n Service Nummer dat voldoet aan de elfproef.
En als je vooraf wilt controleren of dat BSN voldoet aan de elfproef, dan check je dat op www.testnummers.nl
Alvast wat voorzetjes:
293797985, 695714995, 442455124, 505692314, 254541653
Go with the flow....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
