image

Toezichthouder ontdekt verboden BSN-gebruik bij organisaties

dinsdag 24 mei 2016, 14:55 door Redactie, 22 reacties

De Autoriteit Persoonsgegevens (AP) heeft verschillende organisaties op de vingers getikt wegens het verboden gebruik van het Burgerservicenummer (BSN). Het gaat onder andere om een ziekenhuis, sportschool, energiemaatschappij en verschillende uitzendbureaus.

Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Overheidsorganisaties mogen het BSN gebruiken om hun taak uit te voeren, mits het BSN hierbij noodzakelijk is. Organisaties buiten de overheid mogen het BSN alléén gebruiken als dit in de wet staat vermeld. En dan nog alleen voor de doelen die in de wet staan, dus niet zomaar overal voor.

Volgens de Autoriteit Persoonsgegevens weten veel organisaties niet wanneer zij het BSN wel of niet mogen gebruiken. Zo liet een kinderdagverblijf ouders inloggen op een online ouderportaal met hun BSN, wat niet is toegestaan. Kinderdagverblijven mogen weliswaar naar het BSN van ouders vragen, maar zij mogen dit vervolgens alleen gebruiken voor de kinderopvangtoeslag. Ook was er een ziekenhuis dat het BSN gebruikte in brieven om afspraken te bevestigen.

Verder bleek een sportschool het BSN te vragen van mensen die lid wilden worden. Een ophaalpunt voor postpakketten vroeg naar het BSN van mensen die een pakket kwamen ophalen. Er was ook een werkgever die zijn personeel verplichtte hun BSN als inlogcode te gebruiken. De AP vond daarnaast ook verschillende uitzendbureaus die naar het BSN bij de inschrijving van potentiële werknemers vroegen, alsmede een energiemaatschappij die bij een stand in een winkel het BSN vroeg om te voorkomen dat mensen twee keer korting kregen.

"Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude", zo stelt de toezichthouder. De Autoriteit Persoonsgegevens heeft met een aantal organisaties dat het BSN onterecht gebruikte contact opgenomen. Dit heeft er in alle gevallen voor gezorgd dat zij daarmee zijn gestopt.

Reacties (22)
24-05-2016, 15:24 door Anoniem
"Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude"
...en daarom hebben BSN's hogere waarde als ze onderhands worden verhandeld.
...en daardoor gaan bepaalde mensen bij bedrijven, banken en instanties toch proberen om je BSN te pakken te krijgen.
...en omdat grote groepen mensen heel nonchalant met BSN omgaan, is het kwaad voor een groot deel al geschiedt.
En daarom kun je bijna het BSN zo langzamerhand wel weer gaan afschaffen.
Hoofdoorzaak: het rijk en AP sjoemelen er ook mee, en hebben het gebruik van BSN uitgebreid naar de medische zorg
en staan verwerking van BSN voor anders dan de belastingdienst oogluikend toe bij het bankwezen.
Ook blijft het rijk burgers niet duidelijk vertellen in welke gevallen het BSN mag wordt gebruikt, wat er wel en niet van je ID mag gekopieerd etc. Soms staat er wel eens iets op 's Rijksdienst website, en een jaar later blijkt het alweer weggehaald.
Zo weet vaak niemand meer waar hij aan toe is: de medewerkers van bedrijven niet, en de burgers ook niet.
24-05-2016, 15:28 door Anoniem
En ondertussen gebruikt de belastingdienst je BSN als BTWnummer als je ZZPer bent...
24-05-2016, 15:31 door Erik van Straten
Ik vind het idioot dat een BSN, dat niets anders dan een relatief klein geheel getal, bruikbaar is bij identiteitsfraude.

Daarmee lijkt het beter beschermd te moeten worden dan NAW (Naam-Adres-Woonplaats) gegevens die ook tot een persoon te herleiden zijn. Of autokentekens die ongeveer elke 100 meter op overheidscamera worden vastgelegd.

Er lijkt hierbij dus vooral sprake van een dubbele en onzinnige agenda. Als een BSN zo geheim is:

1) Zou deze zo lang en willekeurig gegenereerd moeten zijn dat deze onmogelijk kan worden geraden en/of middels brute force kan worden gegenereerd (daarbij moet het getal natuurlijk wel uniek zijn);

- EN -

2) Zou je jouw BSN snel en eenvoudig moeten kunnen laten wijzigen nadat deze (mogelijk) in verkeerde handen is gevallen.

Aangezien zelfs aan geen van beide beschreven voorwaarden wordt voldaan, is het krankzinnig om een BSN strenger geheim proberen te te houden dan bijvoorbeeld mijn naam. En, vergelijkbaar, hoort een kopie van een paspoort (al dan niet met afgedekte BSN), een kopie van een rijbewijs (idem) en een kopie van een studie-certificaat exact evenveel waarde te vertegenwoordigen als een kopie van een geldig bankbiljet: 0.

Iedereen die ander gebruik aanmoedigt of anders suggereert, ook de AP, werkt mee aan de instandhouding van identiteitsfraude.
24-05-2016, 16:21 door Anoniem
Door Anoniem: En ondertussen gebruikt de belastingdienst je BSN als BTWnummer als je ZZPer bent...

En ben je verplicht dit op iedere factuur te melden...
24-05-2016, 16:26 door Anoniem
Door Erik van Straten: Ik vind het idioot dat een BSN, dat niets anders dan een relatief klein geheel getal, bruikbaar is bij identiteitsfraude.
[...]
Aangezien zelfs aan geen van beide beschreven voorwaarden wordt voldaan, is het krankzinnig om een BSN strenger geheim proberen te te houden dan bijvoorbeeld mijn naam. En, vergelijkbaar, hoort een kopie van een paspoort (al dan niet met afgedekte BSN), een kopie van een rijbewijs (idem) en een kopie van een studie-certificaat exact evenveel waarde te vertegenwoordigen als een kopie van een geldig bankbiljet: 0.
Precies. Het probleem van identiteitsfraude zou niet neergelegd moeten worden bij degene wiens identiteit misbruikt is maar bij degene die meende dat een afbeelding van een identiteitsbewijs net zoveel bewijst als het origineel. En die moet als betaling van de vordering dan inderdaad maar afbeeldingen van bankbiljetten accepteren wat mij betreft.
24-05-2016, 16:48 door Anoniem
Door Anoniem:
Precies. Het probleem van identiteitsfraude zou niet neergelegd moeten worden bij degene wiens identiteit misbruikt is maar bij degene die meende dat een afbeelding van een identiteitsbewijs net zoveel bewijst als het origineel. En die moet als betaling van de vordering dan inderdaad maar afbeeldingen van bankbiljetten accepteren wat mij betreft.

Dat is een goede ja.
De belastingdienst doet hier ook driftig aan mee, met alleen als tussenstap de DigID.
Als een dergelijke identificatie gebruikt wordt om grote financiele verplichtingen aan te gaan moet het risico liggen
bij de acceptant en niet bij de eigenaar van het nummer. De laatste kan immers het acceptatiebeleid niet bepalen
dus kan zich ook niet beschermen.
24-05-2016, 16:56 door Anoniem
De overheid heeft geen verstand van automatisering.
Kamp heeft lak aan veiligheidsregels omdat het makkelijker is gmail te gebruiken. Voorbeeldfunctie!
BSN verplicht afgeven bij 'bepaalde' instanties waarbij je eerst een document van de overheid moet bestuderen wanneer je als burger wel en niet verplicht bent dit af te geven.
Incompetentie van de overheid waarbij de burger wordt opgezadeld met een falend beleid!
24-05-2016, 17:20 door Anoniem
Ik woon in Portugal en wij gebruiken het NIF nummer overal voor, zelfs bij de kassa van de supermarkt wordt dit nummer desgewenst gebruikt. Dit soort nummers zijn beter tegen verwarring en fraude dan namen.
24-05-2016, 18:19 door Anoniem
Nu weet je nooit als iemand je BSN nummer misbruikt, met het gevolg dat als je hier mee geconfronteerd
wordt je pas actie kunt ondernemen als je een rekening mag betalen.
Ik vind dan ook dat als een instelling, bank, of wie dan ook je BSN nummer gebruikt je hier toestemming voor moet geven.
Hebben ze je toestemming niet dan is de schade voor hen.
24-05-2016, 18:55 door Anoniem
Wat dacht je al die bedrijven die om een kopie ID vragen (an sich al erg twijfelachtig) om vervolgens 3 weken later te melden dat mn kopie met KOPIE erop en alle relevante nummers en handtekeningen zwart gemarkeerd niet afdoende is. Als ik dan vraag waarom niet; krijg ik eerst nooit antwoord, maar na aandringen blijkt het altijd om het BSN te gaan. Bedrijven sjoemelen er expres mee, ze weten heel goed dat ze fout zitten ...

Oja, en zoals al gemeld: belastingdienst met BTW nr van ZZPers = BSN + 1 volgnr ... Leuker kunnen we het niet maken; veiliger ook niet ...
24-05-2016, 22:02 door Anoniem
Juridisch is het terecht dat de toezichthouder achter bedrijven aan zit die de wet overtreden en zullen de juristen van de AP waarschijnlijk in hun nopjes zijn met hun zogenaamde daadkracht, maar het slaat de plank compleet mis. Het is schijnveiligheid.

Die wetgeving over het gebruik van het BSN is absurdistisch en losgeslagen van de werkelijkheid.
Het BSN zou zo persoonlijk zijn dat er wetgeving gemaakt is ter bescherming tegen fraude en voor privacy. Maar aan de andere kant moet je het van deze rijks- lagere- en buitenlandse overheidsinstanties vanuit andere wetgeving zo publiek gebruiken dat het niets meer met bescherming te maken heeft.
24-05-2016, 22:12 door iAm - Bijgewerkt: 24-05-2016, 22:13
Grappig. dat over dat ziekenhuis is nu als ontdekt beschreven en toch in 2015 al gepost door iemand op
https://www.security.nl/posting/421262
25-05-2016, 00:20 door [Account Verwijderd]
[Verwijderd]
25-05-2016, 01:55 door Anoniem
Door Erik van Straten: Ik vind het idioot dat een BSN, dat niets anders dan een relatief klein geheel getal, bruikbaar is bij identiteitsfraude.

*dat* is een probleem - niet dat het een ietwat klein getal is, maar dat een (noodzakelijkerwijs) veel onthulde persoonsidentifier bruikbaar is voor identiteitsfraude.
Zou de BSN een heel lange random string zijn, maar op dezelfde manier gebruikt (afgedrukt op rijbewijs/paspoort, noodzakelijk in allerhande fiscale/financiele zaken) was het nog steeds een probleem.


Daarmee lijkt het beter beschermd te moeten worden dan NAW (Naam-Adres-Woonplaats) gegevens die ook tot een persoon te herleiden zijn. Of autokentekens die ongeveer elke 100 meter op overheidscamera worden vastgelegd.

Er lijkt hierbij dus vooral sprake van een dubbele en onzinnige agenda. Als een BSN zo geheim is:

1) Zou deze zo lang en willekeurig gegenereerd moeten zijn dat deze onmogelijk kan worden geraden en/of middels brute force kan worden gegenereerd (daarbij moet het getal natuurlijk wel uniek zijn);

Zonder verdere gegevens is een 'losse' BSN overigens niet herleidbaar naar een persoon, zelfs is niet zeker te zeggen _of_ de bsn aan een persoon hangt.
Het is een getal van 8 of 9 cijfers, en moet aan de 11-proef voldoen. Er is ruimte voor ca 90M BSNs - genoeg dus voor nederland, met een hoop niet gebruikte BSNs.

Je kunt dus wel simpel alle mogelijke geldige BSNs construeren, zonder verdere kennis zegt dat niets welke van meneer Jansen of mevrouw de Vries is - nog niet eens _of_ de BSN in gebruik is .

Alleen in een threat-model waarbij je een orakel onbeperkt de combinatie (naam, kandidaat-BSN) mag vragen kun je met brute force de BSN van een persoon vinden - zoals BSNs nu gebruikt worden is dit niet je grootste zorg als threat model.

Maar als je zorg gaat over wat iedereen op een rijbewijs kan lezen helpt een langere BSN natuurlijk niet .


- EN -

2) Zou je jouw BSN snel en eenvoudig moeten kunnen laten wijzigen nadat deze (mogelijk) in verkeerde handen is gevallen.

*Als* je dan toch BSNs gebruikt alsof ze min of meer geheim zijn en (dus) goed genoeg om op basis van een BSN waarde te leveren is een efficiente manier om een besmette credential te disablen inderdaad noodzakelijk.

Feitelijk een soort van creditcard nummer : Dat is ook helemaal niet zo geheim, (die kaart strooi je ook overal rond, en doordrukjes blijven bij de winkelier) - maar er is wel een strakke fraude-detectie en snel disablen van misbruikte CCs.

Alleen gaat het snel wisselen van BSN heel pijnlijk worden voor het _bedoelde_ gebruik ervan : een simpel uniek nummer wat aan een persoon hangt en onafhankelijk is de meer zichtbare (maar variabele) identifier als de persoons naam.

Leuk analoog (maar net andersom) aan de indirectie die we met DNS namen (en MX records) maken tussen namen en IP adressen .
De domeinnaam kan stabiel zijn, de feitelijke server/hoster en mail afhandelaar kunnen veranderen.


Aangezien zelfs aan geen van beide beschreven voorwaarden wordt voldaan, is het krankzinnig om een BSN strenger geheim proberen te te houden dan bijvoorbeeld mijn naam. En, vergelijkbaar, hoort een kopie van een paspoort (al dan niet met afgedekte BSN), een kopie van een rijbewijs (idem) en een kopie van een studie-certificaat exact evenveel waarde te vertegenwoordigen als een kopie van een geldig bankbiljet: 0.

Iedereen die ander gebruik aanmoedigt of anders suggereert, ook de AP, werkt mee aan de instandhouding van identiteitsfraude.
25-05-2016, 11:09 door Anoniem
Waar kan je eigenlijk je BSN nummer wijzigen?
25-05-2016, 13:38 door Anoniem
Door Anoniem:
Die wetgeving over het gebruik van het BSN is absurdistisch en losgeslagen van de werkelijkheid.
Het BSN zou zo persoonlijk zijn dat er wetgeving gemaakt is ter bescherming tegen fraude en voor privacy. Maar aan de andere kant moet je het van deze rijks- lagere- en buitenlandse overheidsinstanties vanuit andere wetgeving zo publiek gebruiken dat het niets meer met bescherming te maken heeft.

Waar het om gaat is dat je niet wilt dat er bij allerlei redelijk anonieme gegevens ineens ook een BSN vermeld staat.
Want daarmee zijn deze gegevens gemakkelijk onderling te relateren en als je doorzet aan een persoon te koppelen.

Echter wat je niet wilt is dat een BSN de status krijgt van een identificatie van een persoon. Dus bijvoorbeeld dat iemand
ergens een verplichting kan aangaan (of dat nou bij een telefoonwinkel is of bij de belastingdienst) met als feitelijke enige
identificatie een BSN.
Want dan krijg je die situatie dat het lucratief wordt om iemands BSN te stelen, en alle gedoe er omheen wat je nu
hier en in deze reactie ziet.

Het mag geen probleem zijn als je BSN in een brief staat omdat de onterechte ontvanger van deze brief daar verder
niets mee kan anders dan een andere onterecht door hem ontvangen brief te vergelijken en te constateren dat daar
hetzelfde BSN in staat. En het dus om dezelfde persoon gaat. Er zijn zat andere manieren om dat aannemelijk
te maken (zelfde naam, zelfde geboortedatum, zelfde adres) die weliswaar niet 100% bepalend zijn maar wel voldoende
voor de meeste doeleinden.
Echter wat je niet wilt is dat een kopietje van een ID kaart met BSN erop voldoende is om ergens een verplichting
aan te gaan, of dat een BSN een goed breekijzer is om zover te komen (bijvoorbeeld doordat je met alleen een BSN
een DigiID zou kunnen aanvragen die dan verder wordt afgehandeld op een manier waar je tussen kunt zitten), en
dat je daarna vanalles kunt doen op naam van die persoon zonder dat er alarmbellen afgaan.

De verantwoordelijkheid voor die zaken ligt echter niet aan de "lek" kant (manieren waarop een BSN bekend kan
worden) maar aan de "acceptant" kant (plekken waar een BSN mogelijkheden geeft die het niet zou moeten geven).
25-05-2016, 14:15 door Anoniem
Door Anoniem: En ondertussen gebruikt de belastingdienst je BSN als BTWnummer als je ZZPer bent...

Dit is de grootste schande die niet aangepakt wordt. De overheid neemt de (noodzakelijke) bescherming van het BSN niet serieus en stimuleert hiermee fraude. Heb je een webshop als ZZPer ben je verplicht om je BSN nummer ook nog eens op je website te zetten, anders volgt een stevige boete.
25-05-2016, 14:42 door Anoniem
Laatst gebeld naar de fysio voor een afspraak.
Die dame vroeg helemaal niet naar mijn BSN, maar wel naar mijn naam, geboortedatum en adres. Vervolgens wist ze mij direct te vertellen waar ik verzekerd was en waarvoor.
Vond ik ook best creepy.
25-05-2016, 17:55 door Anoniem
Dit is de grootste schande die niet aangepakt wordt. De overheid neemt de (noodzakelijke) bescherming van het BSN niet serieus en stimuleert hiermee fraude.

Er is al eens een poging gedaan om BSN uit BTW-nummer van ZZP'er te laten verdwijnen:
November 2013:
Motie Oosenbrug en Van der Linde over een btw-identitificatienummer voor zzp'ers dat niet is gekoppeld aan het burgerservicenummer
https://www.tweedekamer.nl/downloads/document?id=3f2c1022-cae4-4d75-90a4-6ac64d69c4a0&title=Motie%20van%20de%20leden%20Oosenbrug%20en%20Van%20der%20Linde%20over%20een%20btw-identitificatienummer%20voor%20zzp%27ers%20dat%20niet%20is%20gekoppeld%20aan%20het%20burgerservicenummer.pdf

Die motie is verworpen omdat Wiebes vond dat met een nieuw nummer de problemen niet worden opgelost.
Er moet namelijk i.v.m. omzetbelasting e.d. sowieso een persoonsidentificerend nummer worden vermeld,
dus een nieuw nummer geeft in hoge mate weer dezelfde problemen volgens hem.
Verder zou het aantal fraudegevallen onder ondernemers wel meevallen.
(hoe verschrikkelijk het is voor de ZZP'er die het overkomt, telt in de afweging zeker gemakshalve even niet mee?...)

Dat er meestal een identificerend nummer op facturen moet staan, hebben we waarschijnlijk te danken aan belastingwetgeving en Europese regels. Wel is vermelding van BTW-nummer bij levering aan particulieren niet meer altijd verplicht dacht ik. Dat scheelt dan weer wat.
Maar: richt iemand een eigen BV op, dan krijgt men voor zover ik meen te weten heel snel een nieuw BTW-nummer(?)
Ra-ra?

Heb je een webshop als ZZPer ben je verplicht om je BSN nummer ook nog eens op je website te zetten, anders volgt een stevige boete.
Voor zover ik kan nagaan is dit al een aantal jaren niet (meer?) verplicht. Of hebben ze het pas weer veranderd?
En waarom dan?
26-05-2016, 07:53 door Anoniem
Opmerkelijk dat het UWV nog nooit is aangesproken op het onrechtmatig gebruik van het BSN, terwijl dat misbruik juist bij het UWV schering en inslag is. Zou dat komen omdat het overheid is? Net als de Autoriteit Persoonsgegevens zelf?
30-05-2016, 11:38 door PJW9779
Voor de goede orde : de AP heeft het verboden BSN-gebruik bij organisaties niet 'ontdekt'.
Deze inbreuken zijn *gemeld*. En het heeft nogal een tijdje geduurd voordat de AP reageerde.
En er is een direct verband met het 'Copietje-Papoort', waarop het BSN óók gewoon vermeld staat.

Zo maakt(e) de Rabobank bij de inhuur van externen gewoon gebruik van BSN + volledig leesbaar copietje-pp.
Gewezen op het illegale gebruik verkondigde men doodleuk 'dat is ons beleid bij HRM'.
Ik moet nog zien dat Rabobank daarmee stopt, is nl beleid zie je?

Maar ook bij overheden is de interesse minimaal.
De maatschappelijke schade van identiteitsfraude werd over 2012 geraamd op plm. € 355.000.000,--
Daarom is er ook de 'Aanpak Identiteitsfraude' door het Ministerie van BZK.
Teneinde illegaal copiëren van identiteitsdocumenten tegen te gaan is o.a. het middel 'ID-cover' ontworpen. Dit is een zeer eenvoudige en goedkope manier om het 'kopietje paspoort syndroom' bij de bron de kop in te drukken.
De 'ID-cover' wordt gepromoot door de Nederlandse Vereniging voor Burgerzaken waarvan alle gemeenten lid zijn.
De 'ID-cover' kost gemiddeld slechts € 0,20. Maar als de eigen gemeente niet meewerkt is de burger veroordeeld tot een ANWB-reclamecover van € 6,-- excl. verzendkosten.

De meeste gemeenten werken niet niet mee.
De 'Aanpak Identiteitsfraude' heeft daar dus geen prioriteit.

Voor het BSN-gebruik voor/door ZZP'ers zie het artikel van mijn collega Matthieu Paapst 'BTW-nummer moet wel op website, ook voor de ZZP-er' : https://ictrecht.nl/internetrecht/btw-nummer-moet-wel-website-zzp-er/
30-05-2016, 12:46 door Anoniem
Uit het artikel van Matthieu Paapst: "Update 10 december 2013: Naar aanleiding van dit bericht zijn kamervragen gesteld. [...] Ten aanzien van ZZP-ers is een motie aangenomen om te komen tot een ontkoppeling van BSN en BTW-nummer."

We zijn inmiddels 2,5 jaar verder. Ben benieuwd hoever het staat met het uitvoeren van die motie...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.