Geen idee


Ik zou bijna zeggen begin eens met fatsoenlijke links.
Bijna, maar liever niet nog meer.
Want jij maakt er al heel lang een sport van iedereen bezig te houden met het voortdurend over de heg kieperen van snel gegooglede linkjes.

Netjes is het en zou het zijn de info die daaronder te vinden is in eigen woorden kort samen te vatten om je punt te maken onder vermelding van de bron en niet maar gemakzuchtig wat te urlplakken hier.

Doe een keer echt moeite voor een inhoudelijke post en verschuil je niet achter gepaste informatie die slechts suggereert dat je het allemaal zelf gelezen hebt, dat je het begrijpt en dat je op basis daarvan ook een echte visie hebt.

Pasten van linkjes is slechts op makkelijke wijze discussie willen uitlokken.
Niet zo raar dat de helft van je forum topics geen reacties oplevert en de rest ook niet erg wil vlotten.

Ik ben het met dat verhaal eens, in de zin dat je BSN niet geheim zou moeten zijn omdat er geen enkel gebruik mag
zijn waarbij je BSN je speciale privileges geeft. Bijvoorbeeld als een telefoonmaatschappij een abonnement afsluit met
je BSN als persoonsidentificatie en dan later bij wanbetaling via het BSN gaat proberen te incasseren, dan zit de fout
helemaal bij die telefoonmaatschappij. Hadden ze maar een betere identificatie moeten doen dan de kennis van een
nummer.

Echter, dit betekent nog niet dat BSN zomaar bij alle persoonsgegevens meegegeven en geregistreerd mag worden.
Naast het punt van fraude is er namelijk ook nog het punt van koppeling van gegevens. Als je BSN een soort van
superkoekje wordt dan kan iedereen verzamelde gegevens uit verschillende bronnen aan elkaar koppelen, en dat recht
moet voorbehouden worden aan overheidsautoriteiten.

Dus hoewel op zich een BSN niet geheim moet zijn (het is namelijk nooit te garanderen dat het altijd geheim blijft, en
het kan niet veranderd worden, waardoor je een tweedeling in de bevolking zou krijgen van mensen wiens BSN nog
geheim is en mensen wiens BSN bekend geworden is), betekent dat nog niet dat iedereen maar BSN mag vastleggen.

Dank je, we zijn het op dat punt eens.
Helaas lopen er velen te roepen dat het BSN een heel bijzonder iets is en dat enkel het weten daarvan de identiteitsfraude in de hand werkt. Er zijn kamervragen in die lijn gesteld waarbij de achterliggende zaak een duidelijk gefalsificeerd id was. Met de datalekken in Amsterdam (verkeerd verzonden brieven) werd ook gesteld vanuit de overheid dat het weten van de BSN voldoende zou zijn voor identiteitsdiefstal. (dat weten .. ai privileges).

Voorbehouden aan overheidsautoriteiten?
Voor ZZP-er is de BSN verplicht openbaar via het te publiceren btw nummer. Met de zorg staat het ook al daar geregistreerd bijgehouden door zorgverleners en verzekeraars. Bij scholen via opbrengst gericht werken worden ook allerlei registratie doorgevoerd. Hoe ver dat loopt met een bsn dan wel herkenbaar afgeleid iets is me niet helemaal duidelijk. Je krijgt tegenwoordig al een bsn bij je geboorte. Banken en financiële instellingen moeten de overzichten doorgeven aan de overheid ook zij (financials) houden je BSN bij. De digid voorziening is uitbesteed (geen overheid), ook daar weer iets buiten de overheid.

Wat houden we dan nog over de vele commerciëlen die met de tegenwoordige big data tools uitstekend in staat zijn gegevens uit verschillende bronnen te koppelen ook al heb je dat niet als relatienummer of wat dan ook opgeslagen.

Ik vond het verrassend en was blij om die post in de Linkedin tegen te komen. (alleen voor fatsoenlijke mensen)
a/ Dat er meer mensen beter over de betreffende materie nadenken in plaats van in een eigen hokje opgesloten te blijven
b/ De omgeving waar de betreffende persoon zich begeeft. Hij zit vrij dicht bij het vuur waar de ideeën voor de politiek opborrelen.

Ik denk dat het probleem is dat jij je onschuld moet bewijzen, hoewel je niets verkeerd hebt gedaan.

Ik verbaas me ook telkens als ik dit soort dingen lees. De overheid zit te hameren op het geheim houden van een nummer dat net zo makkelijk over te schrijven en te onthouden is als een telefoonnummer, en zoals je zelf aangeeft via BTW-nummers zelfs verplicht verspreid moet worden als je een eenmanszaak hebt.

Dat het te idioot voor woorden is dat het een probleem kan vormen wil helaas nog niet zeggen dat het dan ook geen probleem is, de mensheid gedraagt zich wel vaker volslagen idioot. Kennelijk zijn er heel wat bedrijven die een scan van een identiteitsbewijs accepteren zonder te snappen of te erkennen dat die toch echt veel makkelijker te manipuleren is dan het echte fraudebestendige ding, en kennelijk zijn er ook situaties waarin een BSN dat eenmaal genoteerd is wordt behandeld alsof er niets mis mee kan zijn. En misschien is het ook wel een nogal gewetenloos soort gemakzucht, er is een aanknopingspunt om iemand over die onbetaalde rekening achter de vodden te zitten en of dat de juiste persoon is is minder interessant. En als een schuldeiser met zo'n instelling bij een incassobureau of deurwaarder aanklopt, hoe kan die dan ooit controleren of er een echte identiteitskaart goed is bekeken? En is een incassobureau wel in dat soort complicerende mogelijkheden geïnteresseerd?

Zo lang als mensen zo met gegevens omspringen vormt het verspreiden van die gegevens inderdaad een probleem. Natuurlijk is het gedrag van die mensen het probleem en niet het BSN zelf, maar je voorkomt wel een hoop gezeik als je weet te voorkomen dat ze zich zo kunnen gaan gedragen.

Misschien wordt er daarom zo op het geheimhouden van het BSN gehamerd door de overheid (helaas zonder dan eens die BTW-nummers aan te pakken), ik snap de praktische waarde ervan. Ik vind het wel schokkend dat nergens uit al die voorlichting erover blijkt dat ook maar iemand bij de overheid heeft begrepen dat het nummer op zich niet het probleem is maar de de veronderstelling dat het kennen van een rijtje cijfers bewijst dat je het goede rijtje cijfers in handen hebt. Ik zou graag zien dat de overheid er net zo hard op hamert dat je geen bewijs in handen hebt met een BSN, dat schuldeisers en incassobureau's op hun donder krijgen als ze een BSN als boven elke twijfel verheven behandelen.

Daarnaast is het natuurlijk niet iets wat je kan veranderen zoals je een ander e-mailadres kan nemen, en daarmee een aantrekkelijk gegeven om alles aan alles te koppelen. Dat is ook een reden om het niet overal rond te strooien, natuurlijk.

Nee het bedrijf moet aantonen dat ze een overeenkomst met je hebben.
Dat kan bijvoorbeeld door het tonen van een contract. Maar dan moet bij het opstellen van dat contract wel de identiteit
vastgesteld zijn, anders kan iedereen wel een winkel binnen lopen en zo'n contract opstellen.
Wat er nu lijkt te gebeuren is dat bedrijven denken "we hebben je BSN dus je identiteit is vastgesteld". Daar moet
wettelijk iets aan gedaan worden zodat de rechter dit meteen aan de kant kan schuiven als men daar mee komt.

Daarnaast is er binnen de overheid zelf nog wel het nodige mis. Omdat BSN je sleutel is bij de belastingdienst (die hebben
het nummer ooit bedacht) en je bij het aanvragen van bijvoorbeeld voorschotten je identificeerd met je BSN, moet daarnaast
nog worden vastgesteld wat je identiteit is. Echter, dat gebeurt dan bijvoorbeeld met DigiD, en als je iemands BSN weet
kun je ook een nieuw DigiD wachtwoord aanvragen. Dit wordt dan gestuurd naar het bekende woonadres, echter daar
valt dan vaak wel tussen te komen (brievenbus hengelen, kennis die postbezorger is in die wijk, etc). Dus je zou
verwachten dat de belastingdienst hier omzichtig mee omgaat.
Dat is echter niet het geval. Als iemand een nieuw DigiD aanvraagt, daarmee inlogt en meteen woonadres en bank
nummer laat aanpassen, en vervolgens allerlei toeslagen en voorschotten gaat aanvragen, dan gaat er geen rode lamp
knipperen maar worden deze bedragen gewoon overgemaakt. Dat klopt natuurlijk niet.
Op die manier kan er gefraudeerd worden door iemand die BSN weet en toegang tot post heeft, en de belastingdienst
gaat dat dan zondermeer verhalen op de oorspronkelijke persoon, niks mee te maken dat er gefraudeerd is dat is niet
hun probleem maar mag je zelf met de politie gaan regelen. Dan kun je als overheid wel gaan adviseren dat je je BSN
geheim moet houden, maar beter zou zijn eens naar de procedures te kijken.

Bedankt voor je uitleg, maar wat je over de belastingdienst schrijft is wat ik bedoel, er zijn mensen in de
problemen gekomen om dat ze maar klakkeloos aannemen dat het wel klopt.

Dank jullie. Jullie geven een gewenste situatie insteek aan. Nu is het:
- Het weten van het BSN wordt als bewijs gezien dat je het was (speelde in de zaak met kamer vragen)
- je moet zelf maar het tegendeel zien te bewijzen ook als is dat vrijwel onmogelijk.
- De bedrijven hebben het geld voor betere advocaten waar je het als burger tegen aflegt ook al heb je gelijk.
- de overheid / regering draagt het beeld uit dat een probleem de gebruiker (consument burger) zelf maar moet oplossen.
Hoe kan je daar een draai aangeven dat het veranderd?

Het zou als veel helpen als de bewijslast echt bij degeen ligt die de claim doet. Dat moet dan niet zo'n nietszegggend "we weten het BSN" of hebben een id-kopietje zijn.

https://medium.com/@mndell/waarom-het-burgerservicenummer-niet-geheim-hoeft-te-zijn-bf53d216b8d5#.j0zu17nwu
kan ook.

Maar eh...: sinds wanneer betekent ' bijzonder ' : geheim?
BSN is nooit geheim geweest. BSN is bijzonder persoonsgegeven, omdat het naar één uniek persoon verwijst.
Dat kan je van een ander enkel persoonsgegevens meestal niet zeggen.
Daarom leek het ideaal in de zorg. Verder is het bijzonder omdat het voor bepaalde overheidsdiensten wordt gebruikt.

Met het oog op koppeling van databases en fraude kan je er beter niet meer mee te koop te lopen dan nodig is.
Dit laatste geldt evengoed voor andere persoonsgegevens en het ID-nummer dat ter controle dient van het BSN.
We kennen allemaal het geval van de enthousiasteling die zijn rijbewijs had gehaald en op internet had gezet.
Dat heeft hij geweten. (mogelijk alleen de voorkant, dus zonder BSN die op de achterkant staat maar dat weet ik zo niet)
Stempas legitimatiecontrole krijgt van mij bijv. ook niet meer gegevens te zien dan wat er op de stempas staat. etc.etc.
Heel gewoon omdat showen van andere gegevens geen zin heeft omdat ze oncontroleerbaar zijn. Klaar.
Als het moet dan moet het, en wat niet hoeft, geef je niet.

Wat ik altijdl vreem heb gevonden is dat een kopie rechtsgeldig is, een ID is eigendom van de staat en toch
mag iedereen zo veel kopieën maken als je maar wil.

Nou jij kunt het wel heel erg overdrijven zeg.

Bij een stemburureau wordt even snel gecheckt of de naam op stempas wel overeenkomt met de naam op de de ID en of de persoon die het overhandigt lijkt op de foto. Denk je nu echt dat er op zo'n moment een kopie getrokken wordt van je ID? Die mensen hebben echt wel wat anders te doen...

Paranoïde!

Inderdaad Logius is BZK en overheid. Daar komen de ideeën en de voorstellen met de kaders zoals digid vandaan.
Nu was ik in de veronderstelling dat ze het datacenter met de computers buiten de deur gezet hebben.

http://www.equinix.nl/locations/netherlands-colocation/enschede-data-center/ "Experienced in managing PaaS solutions for Logius, a subsidiary of the Dutch Ministry of Home Affairs and Kingdom Relations overseeing ICT solutions and uniformity for several departments (e.g., Digipoort, DigiD and Mijnoverheid.nl)"
en https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2016/06/24/bijlagen-bij-besluit-wob-verzoek-adr-rapporten-2015-bzk/101-reviewbevindingen-op-vka-assurancerapport-2014-inzake-equinix.pdf

inderdaad ligt het wat genuanceerder zoals je stelt. Het logisch beheer bij logius en de operatie - techniek PAAS bij Equinix. https://en.wikipedia.org/wiki/Equinix Verhip dat is bedrijf met vele grote datacenters (145+ met 9 in NL). En bijna zoals te verwachten het is een Amerikaans bedrijf. Alu-hoedjes hoe zit het met de toegang door de amerikaanse overheid? Die beweren constant dat elk Amerikaans bedrijf op hun vezoek data moet overhandigen waar ook ter wereld. (ja ik ken de MS ierland zaak)

Dat kopieën maken is zelfs verplicht.. Je werkgever de banken etc moeten zoiets hebben om aan te tonen dat ze controles gedaan hebben. Het is raar hoe met de bewijsvoering omgegaan wordt.
- Bij de verdenking van tewerkstelliging van illegalen moet een ieder die aanwezig is zijn ID/paspoort kunnen laten zien.
- Bij de zorgverlening gaan de behandeling en facturering geheel buiten een identificatie/autenticatie om.
- Zit je inde bijstand dan is de toegang tot je huis vrij. Er moet vastgesteld kunnen worden dat je niet een relatie hebt ( 2 tandenborstels).

Ja vreemd, medewerkers van een bedrijf kunnen een kopie van je kopie maken, ze hebben alle gegevens om
er mee te frauderen, mits er geen kontrole plaats vindt.

Nee dat klopt niet, met een kopie kun je je niet identificeren en dus ook niet frauderen.
De fout zit hem op het punt waar een reeds gemaakte kopie wordt aangepakt als identificatie.
Het is alleen een identificatie als het originele ID bewijs is gecontroleerd en daarbij eventueel gecopieerd om deze actie
vast te leggen.
Je accepteert toch ook geen kopie van een 50 euro biljet in plaats van het origineel?

https://www.security.nl/posting/483656/AP%3A+wifi-tracker+Bluetrace+schendt+privacywetgeving Het wifi adres wordt kennelijk als makkelijk koppelbaar gezien. De aanname is dat een ieder dat zelfde ding aan laat staan.
Dat makkelijk koppelbaar zijn is kennelijk niet voorbehouden aan het BSN. Wat is er nog meer met die eigenschap.

Nee ik niet maar het probleem is dat er mensen zijn die dat wel doen, en dat ze dat geld weer doorgeven
zo dat er valsgeld in de omloop is.
En dat gebeurt ook met id fraude ze kontroleren het niet, zolang ze maar geen schade lopen.

Zolang het maar duidelijk is dat je helemaal niets hebt aan een kopie ID net zoals je niets hebt aan een kopie eurobiljet.
Een ID is er op gemaakt om lastig na te kunnen maken (met wisselend succes), waarom denk je dat dat is?
Ga maar eens met een kopie van je ID naar de controle op schiphol, kijken of ze je doorlaten. Ik denk het niet.

https://www.security.nl/posting/483661/Persoonsgegevens+Utrechters+onbeveiligd+op+intranet+gemeente
Voor overheden die falen kan het AP enkele met een bestuurlijke aanwijzing komen. De baas van het AP is echter BZK dat is niet echt een onafhankelijke positie. Hoe je BSN via een gemeente overal naar toe kan gaan zonder dat je het weet....

https://www.security.nl/posting/484707/Belgische+overheid+gaat+pasfoto%27s+15+jaar+lang+bewaren
Het weten (lekken) van een BSN mag gewoon nooit tot identiteitsfraude kunnen leiden.
Ergo:
- eenvoudige publieke mogelijkheid op geldigheid van een id (met traceerbaarheid/controleerbaarheid).
- Betere gemakkelijkere controles op eventuele gefalsificeerde id-bewijzen

En https://www.security.nl/posting/484608/Aanvallers+stelen+20GB+aan+data+bij+gemeente+Almelo.
Het argument van BSN blijft terugkomen, de inhoudelijke aanpak wordt uit de weg gegaan.

Via https://www.security.nl/posting/485698/Intern+%27datalek%27+gemeente+Hellendoorn+na+5+jaar+verholpen
We blijven uitdragen dat het weten van een BSN identiteitsfraude in de hand werkt. Dat terwijl de vaststelling van een identiteit veel meer eisen heeft. http://www.tubantia.nl/regio/reggestreek/hellendoorn/datalek-gedicht-maar-waarschuwing-voor-mogelijk-identiteitsfraude-hellendoorn-1.6406265

Nietes.
Die hele verzameling van genoemde persoonsgegevens werkt indentiteitsfraude in de hand. Niet alleen maar BSN.
Er staat immers in Tubantia:
"De ambtenaar informatieveiligheid concludeert: ‘Al met al voldoende voor kwaadwilligen om identiteitsfraude te kunnen plegen."

M.a.w.: hoe meer (persoons)gegevens men van iemand weet, des te groter wordt het risico op identiteitsfraude.

"De overheid raadt burgers aan het burgerservicenummer streng te bewaken, omdat het kan worden gebruikt om identiteiten te stelen." Zoiets is een aanfluiting in het nor,besef wie de controle hoort te doen of de persoon en het BSN bij elkaar horen. Dat met alle plekken waar een bsn verplicht openbaar is.
Vanuit de nu.nl link in: https://www.security.nl/posting/489355/NPO3+haalt+Privacytest+offline+wegens+privacyschending

Veel vraag en antwoord over BSN hier (tot dusver de meest complete & betrouwbare die ik heb gezien):
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn

Goeroehoedjes

Dank u goeroehoedjes. ... dat artikel stelt heel duidelijk dat het koppelen van bestanden het grootste gemak en doel is.
De conclusie dat het daardoor tot identiteitsfraude zou leiden is en kromme. Wettelijk is namelijk bepaald dat degene die een ander een bepaalde identiteit voorstelt zelf de autenticatie moet doen en niet enkel op de bewering mag afgaan. Het noemen van en nummer-naam is niet echt een bewijs.

Waarom die wet zelfs door dit artikel van het AP niet gevolgd wordt is op zijn zachtst gezegd kwalijk.

Vermoedelijk bedoelt AP dat risico op ID-fraude toeneemt als er onwettig op meerdere slecht beveiligde servers BSN steeds weer met één of enkele verschillende cruciale persoonsgegevens is gekoppeld en opgeslagen. Dat kan veel verder gaan dan alleen maar nummer-naam. BSN wordt hier dus een springplank om diverse andere persoonsgegevens te bemachtigen via enkele onbeveiligde servers waarop dit BSN onwettig met mogelijk steeds weer andere persoonsgegevens van de betreffende persoon is gekoppeld.

Goeroehoedjes

Je blijft er wel ontzettend op hameren dat "het BSN" het bewijs is welke gebruikt werd. Wat je enkel vergeet is dat identiteitsfraude zoveel meer is dan enkel het misbruiken van een BSN nummer.

Bij de Nederlandse overheid kan je aan de hand van een BSN, geboortedatum, postcode en huisnummer een DigiD account aanvragen. Hiermee kan je zelf, eenvoudig, thuis enkele zaken regelen. Hiermee kan fraude gepleegd worden. Enkel met DigiD? Nee, door een opeenstapeling van verschillende persoonsgegevens. Past men hier geen controle op toe? Jawel, alleen zijn ook de beveiligingsmaatregelen te omzeilen.

Het grotere risico op identiteitsfraude, en een risico waar mensen vaker slachtoffer van worden, is die waarbij sprake is van fraude met persoonsgegevens bij het afsluiten van, mobiele, abonnementen. Denk hierbij aan je reguliere NAW gegevens, een document type, verloopdatum en documentnummer. Hierdoor lopen mensen daadwerkelijk financiele nadelen op en het toestel verdwijnt uit het Nederlandse mobiele netwerk en zo naar het buitenland.

Een andere variant van identiteitsfraude is het gebruik maken van de identificerende gegevens van een credit card, in combinatie van de autorisatiecode op de achterzijde. Vervolgens geeft het boefje een afleveradres op welke hij onder controle heeft en/of het pakket bij kan onderschepen. Hier heb je twee maal identiteitsfraude.

De moraal van mijn verhaal? Je blijft ontzettend hangen in het BSN verhaal, maar vergeet de laatste een of twee alinea's van het artikel uit je openingspost. Namelijk dat geheim houden niets oplost, maar controle wel. Natuurlijk is het verstandig om gegevens geheim te houden, hiermee voorkom je dat kwaadwillenden kunnen frauderen op momenten dat de controle faalt. Toch is het zo dat security by obscurity an sich geen beveiligingsmaatregel is. De controle dient beter plaats te vinden en dat kan bijvoorbeeld op een manier zoals het in Belgie met het eID geregeld is.

Natuurlijk blijf ik er op hameren, het is de enige kans op verbetering. Proefballontjes herhalen (cato de oudere) is politiek. Kijk nu eens naar:
- https://www.security.nl/posting/489623/Apeldoorn+lekt+priv%C3%A9gegevens+burgemeester+en+wethouders Het bsn zelf als privacy-gegeven, het is onzin. Jammer van de weinige reacties.
- De http://wetten.overheid.nl/BWBR0011468/2016-01-01 (Wet bescherming persoonsgegevens 2016) nergens het BSN alleen artikel 24 "Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald." Het is geheel anders verwoord dan de voorgaande artikelen welke met name privacybescherming benoemen.
Artikel 37 lid 2 (andere contact weg) "De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker." Dat is beslist niet een kopietje of noemen van een nummer.

Neem nu [ur]http://wetten.overheid.nl/BWBR0033181/2012-07-12[/ur] "Een deugdelijke controle kan alleen plaatsvinden aan de hand van een origineel document, niet een kopie; daarop zijn beschadigingen of vervalsingen vaak niet meer te zien." Het is een toelichting met veel tegenstrijdigheden. Deze http://wetten.overheid.nl/BWBR0022428/2014-01-06#Hoofdstuk1_Artikel1 (Wet algemene bepalingen burgerservicenummer) artikel 12 "Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt."

In een wet staat nergens dat een BSN privacygevoelig is, althans ik heb het niet kunnen vinden. Overtuig me van het tegendeel. Nee wat het AP opschrijft moet kloppen met de wetten, ze zijn niet wetmakend. Stel een BSN zou privacygevoelig zijn, als dat we zo zou zijn dan is de overheid zelf in overtreding (ZZP zorg etc).

Controle die faalt hoort aangepakt te worden.
Dat doe je niet door geheimhouding (obscurity) of ander aandachtstrekkers (privacy) te gebruiken. Als de controle goed is kan je dat ook tonen. Fysieke sloten zijn goed zichtbaar.

Inspirerend... Maar wacht eens: BSN is dus bedoeld voor zorg en overheidszaken.
Je zou ondertussen gaan denken dat wij ons BSN geheim moeten houden omdat de overheid weigert voldoende controle in te bouwen, maar dat de overheid het haar burgers dus wél oplegt om uitvoerige controles te plegen!

Dit klopt denk ik ook wel, omdat ze samen hadden besloten om toeslagen niet maanden uit te stellen,
maar zonder controle direct al te beginnen om de aangevraagde (maandelijkse) toeslagen uit te keren.
En op dat gebied hebben we inderdaad over identiteitsfraude gehoord waarin het BSN op een criminele en slinkse wijze werd verkregen. Laten we asjeblieft hier niet precies vertellen hoe, maar hoe het met hen afliep: https://www.security.nl/posting/34104/FIOD+arresteert+bende+DigiD-fraudeurs

Even terzijde maar toch cruciaal:
dit gebeurde niet doordat de gedupeerde mensen zelf hun BSN niet geheim probeerden te houden,
maar het duidt wel aan hoe met behulp van BSN er fraude gepleegd kon worden.
En dat was uiteindelijk inderdaad gebrek aan controle. (bij de overheid)

Goeroehoedjes

No worries. De techniek is niet zomaar buiten de deur gezet. De diensten die de externe partijen leveren zijn verworven door aanbesteding vanuit de overheid. Er wordt gewerkt volgens de spelregels van de aanbestedende partij en niet die van de leverancier. Geen kopietje van de DigiD gegevens naar Amerika dus!

Jij bent geen aluhoedje, ik ook niet. Het is natuurlijk een contractuele overeenkomst die regelmatig gevalideerd moet worden op de uitvoering. Niet mis mee. Het kan natuurlijk altijd fout gaan, niet veel anders dan met eigen interne mensen het fout kan gaan. Wat dat betreft zitten de grootste risico's gewoonlijk in de boardroom en daar vlak in de buurt. Gevolg van gebrek aan controles en niet horen van andere meningen.

Ik meen me te herinneren dat het BSN, dat toen nog SoFi nummer heette, in het leven geroepen is omdat er mensen bleken te zijn die zowel een uitkering kregen als een baan hadden waarvoor keurig loonbelasting werd afgedragen. Om deze wel erg simplistische vorm van fraude te kunnen bestrijden is toen besloten om de gegevens van Belastingdienst en Sociale Zaken te koppelen, en wel via het SoFi nummer. Later werd het gebruik uitgebreid en de naam aangepast.
Om te stellen dat de Belastingdienst het BSN bedacht heeft, lijkt me iets te kort door de bocht.