image

AP vindt BSN programmeurs in testdata operatie BRP

zondag 4 februari 2018, 08:25 door Redactie, 26 reacties

De Autoriteit Persoonsgegevens heeft in de testdata van operatie Basisregistratie Persoonsgegevens (BRP) de burgerservicenummers (BSN) van verschillende programmeurs gevonden. Vorig jaar november maakte het ministerie van Binnenlandse Zaken een deel van de broncode van operatie BRP openbaar.

Het project moest de Basisregistratie Persoonsgegevens vernieuwen, maar halverwege vorig jaar besloot de overheid de stekker eruit te trekken. De BRP bevat persoonsgegevens van inwoners van Nederland en van personen die Nederland hebben verlaten. Staatssecretaris Knops van Binnenlandse Zaken vroeg in december de Autoriteit Persoonsgegevens om naar de privacy- en veiligheidsoverwegingen te kijken die spelen bij het openbaar maken van de testcode en testdata van operatie BRP.

De toezichthouder ontdekte in de testbestanden verzonnen persoonsnamen en burgerservicenummers. Bij een kleine steekproef bleek dat een deel van de verzonnen BSN's ook in de praktijk bestonden, zij het niet bij de naam die erbij hoort. Daarnaast bleek dat sommige programmeurs hun eigen burgerservicenummer hadden gebruikt. "Het feit dat er in het testbestand ook echte BSN's zitten is op zichzelf niet betekenisvol, aangezien iedereen een lijst kan maken met alle denkbare BSN's", zo laat de toezichthouder weten (pdf).

De Autoriteit Persoonsgegevens benadrukt dat het juist voorstander is van het testen met fictieve gegevens in plaats van echte persoonsgegevens. Wat betreft het openbaar maken van de gegevens die sommige programmeurs hebben ingevoerd is er volgens de toezichthouder wel sprake van een inbreuk op de privacy. Staatssecretaris Knops krijgt dan ook het advies om de betreffende programmeurs de mogelijkheid te bieden om tegen de openbaarmaking van hun BSN bezwaar te maken. Een advies dat wordt overgenomen, zo laat Knops in een brief aan de Tweede Kamer weten (pdf).

De staatssecretaris meldt verder dat uit een nadere analyse door CIO-BZK is gebleken dat slechts een beperkt deel van de nog niet gepubliceerde bestanden om veiligheidsredenen niet kan worden vrijgegeven. "Dit is vanwege te gedetailleerde informatie die gerelateerd kan worden aan de bestaande systemen en gebruikers van de BRP", aldus Knops. Het openbaar maken van het grootste deel van de nog niet openbaar gemaakte bestanden van de laatste versie van de broncode en bijbehorende functionele en technische documentatie van operatie BRP zou voor maart dit jaar moeten plaatsvinden.

Reacties (26)
04-02-2018, 09:35 door Anoniem
Kan het AP ook eens kijken naar de kwestie BTW nummers voor ZZP-ers. Blijf het na zoveel jaar freelancen bizar vinden dat het BSN nummer hier gewoon in is verwerkt. Lijkt me een veel groter probleem voor de privacy dan bovenstaand geval.
04-02-2018, 09:51 door Anoniem
Dus als je als programmeur je eigen persoonsgegevens zoals bsn als test data gebruikt, dan kun je bezwaar maken als die openbaar wordt gemaakt. Maar als ondernemer moet je nog altijd verplicht je btw nummer vermelden wat bij eenmansbedrijven BSN +.b0x is.
De eerste is dom maar kan gebeuren. De tweede ook, maar dan van een hele andere orde. Waarom is die verplichting nog steeds niet teruggedraaid AP?
04-02-2018, 10:08 door Anoniem
Door Anoniem: Kan het AP ook eens kijken naar de kwestie BTW nummers voor ZZP-ers. Blijf het na zoveel jaar freelancen bizar vinden dat het BSN nummer hier gewoon in is verwerkt. Lijkt me een veel groter probleem voor de privacy dan bovenstaand geval.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-onderzoekt-verwerking-bsn-btw-nummers-zzpers
04-02-2018, 10:18 door Anoniem
Ik woon in Portugal en hier is het burgerservicenummer een dagelijks gebruikt nummer, we kunnen dat zelfs opgeven bij het drinken van een kopje koffie van 0,60 €.
In tegenstelling tot Nederland staat ons Iban banknummer niet op de bankpasje, maar we hebben al iets van 10 jaar een chip en sinds jaren contactloos betalen. Op de geldautomaten kunnen we alle bankzaken regelen en zelfs een visvergunning kopen.
Elektronische tolheffing op snelwegen bestaat al een jaar of 7-8.
4 G Internet een normaal iets en een goede tegenhanger voor vaak de bovengrondse ADSL kabels.
1 Europa is nog ver weg als je kijkt naar implementatie van technieken.
04-02-2018, 10:23 door Anoniem
Het is wel betekenisvol dat "we" eerst een SoFinummer verzinnen, het oprekken tot BSN, het overal en nergens vereisen vaak voor geen of ongeldige redenen, en er dan achteraf een beetje moeilijk over gaan doen "want privacy". Maar ook maar half, zie bijvoorbeeld inderdaad de ZZPers

Dat maakt deze rapportages veel minder betekenisvol dan ze hadden moeten zijn. Leuk geprobeerd, maar deze riemen roeien niet. Hier moet echt fundamenteel iets veel beter om ook een werkelijk voor digitale transformatie geschikte toekomstvaste administratie te kunnen voeren.

Dus, AP, wil je hier serieus wat bijdragen, wat in dezen redelijk veel meer behelst dan simpelweg de bestaande regeltjes uitvoeren, dan neem je maar contact op. Er zijn niet zoveel mensen die op dit niveau kunnen werken dus zo moeilijk is het niet om me te vinden.
04-02-2018, 10:37 door karma4
[
Door Anoniem: Kan het AP ook eens kijken naar de kwestie BTW nummers voor ZZP-ers. Blijf het na zoveel jaar freelancen bizar vinden dat het BSN nummer hier gewoon in is verwerkt. Lijkt me een veel groter probleem voor de privacy dan bovenstaand geval.
Wat bizar is dat een BSN wat niet veel meer is dan een NAW gegeven tot bewijs verheven is van de identiteit.
Een ieder die iets met security / beveiliging van doen heeft weet het verschil tussen identificatie en authenticatie.
Er zijn landen genoeg doe om de spelfouten met namen te vermijden overal het BSN SSN
http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL (zie artikel 87, valt niet onder bijzonder persoonsgegeven artikel 9).

quote]De Autoriteit Persoonsgegevens benadrukt dat het juist voorstander is van het testen met fictieve gegevens in plaats van echte persoonsgegevens.[/quote] Waarmee het AP aangeeft niet op de hoogte te zijn van wat er bij de informatieverwerking gewoonlijk gebeurt.
Juist het BRP is ten onder aan gegaan aan fictieve ideeën die niet conform de werkelijkheid bleken te zijn. Een eerste vereiste is om de werkelijkheid te kennen. Dat betekent onderzoek en meten, dat gaat niet met fictieve gegevens (Stapel).
04-02-2018, 11:07 door Anoniem
Het uitgangspunt dat een BSN een bijzonder persoonsgegeven is en niet verwerkt mag worden zonder grondslag gaat met de nieuwe wet gelukkig op de schop want het gaat nergens over. Met een BSN alleen weet je nog helemaal niets. Ik kan een usb stick op straat achterlaten met honderden BSN's en vrijwel niemand zal dat kunnen achterhalen naar natuurlijke personen. Alleen organisaties die toegang hebben tot de basis registraties kunnen dat wel maar die mogen dat niet zomaar want er zal een verklaring moeten worden gegeven als een medewerker zomaar honderden BSN's gaat onderzoeken, zeker als deze niet gerelateerd kunnen worden aan de uitvoering van de wettelijke taak van de organisatie.
Alleen wanneer een BSN gekoppeld wordt met o.a. bijbehorende NAW gegevens lijkt me dat daar wel tegen moet worden opgetreden want dan is het ineens geen nietszeggend nummer meer. Inclusief de aanvullende gegevens kan een BSN dan als unieke database sleutel worden gebruikt om mensen geautomatiseerd mee te identificeren, wat volgens art. 24 WBP strikt verboden is want het BSN mag niet voor worden gebruikt maar alleen ter identificatie van een enkel persoon voor de uitvoering van de wettelijk taak. Via een AMvB kan daarvan worden afgeweken maar dat moet heel specifiek worden omschreven.

Maar als FG kom ik bij gemeenten steeds vaker verwerkingen tegen waar de grens van het toelaatbare is opgezocht en vaak ruimschoots wordt overtreden. Met de nieuwe wet in de hand kan de discussie worden aangegaan omdat geen enkele gemeente een boete wil riskeren op dergelijke ontoelaatbare verwerkingen. Denk bijvoorbeeld aan de doorgeschoten handhaving op de openbare weg. Daar worden gegevens verwerkt van mensen die nergens van verdacht worden maar gewoon op een 'verkeerd' moment op een ' verkeerde' plaats tegen een verkeerde handhaver aanlopen.
Ik heb databases vol foto's van ' verdachten' met identiteitsbewijzen voorbij zien komen van mensen, die helemaal niets verwijdbaars gedaan hadden maar toch geregistreerd werden. Dat vind ik kwalijker dan een paar BSN's in een test bestand.
Nu handhavers van gemeenten steeds meer Politietaken over gaan nemen vrees ik dat die illegale registraties alleen maar zullen toe gaan nemen.
04-02-2018, 11:19 door Anoniem
Afz FB

Vanuit een security perspectief!
Een BSN is een identificerend gegeven. Zoals Karma aangeeft geen authentiserend gegeven.
Als het BSN geheim gehouden moet worden, dan lijkt het een authentiserend gegeven waarvan kennis hebbend andere mensen vertrouwen uit kunnen halen. Verkeerd, maar toch. In de social engineering is dit een basistechnieken om nog meer te weten te komen dan wel om iets gedaan te krijgen.

Vanuit een privacy perspectief!
Een BSN is wederom een identificerend gegeven. Omdat het BSN nog veel unieker een bepaalde persoon aangeeft dan naam, geboortedatum, geboorteplaats is het ook veel beter geschikt om allerhande gegevens te koppelen. Het BSN is niet bedoeld om geheim te zijn. Het verbod om vrijelijk het BSN overal te willen/mogen/moeten gebruiken dient ertoe om de mens achter het BSN minder volgbaar te laten zijn (hetgeen van belang is om onvrijheid te voorkomen).

Denk eens na hoe het ene het andere beïnvloedt

Verder slechts een mening ;-)
04-02-2018, 12:00 door karma4
Door Anoniem: ...
Het BSN is niet bedoeld om geheim te zijn. Het verbod om vrijelijk het BSN overal te willen/mogen/moeten gebruiken dient ertoe om de mens achter het BSN minder volgbaar te laten zijn (hetgeen van belang is om onvrijheid te voorkomen).

Denk eens na hoe het ene het andere beïnvloedt
...
Uitstekende die mening. Wel jammer dat BZK en logius daar behoorlijk falen voor de verplichte invullingen..
Voor opgaven aan de belastingdienst mag het niet zo'n issue zijn dat het juist gekoppeld wordt. Een paar foutjes zijn als snel onacceptabel.
Met social media en marketing ligt dat totaal anders. 20% goed kan al zeer goed zijn. Dat onderscheid gaarne houden.
04-02-2018, 15:53 door Anoniem
Een BSN is een identificerend gegeven. Zoals Karma aangeeft geen authentiserend gegeven.

Nee, BSN is een extra authenticerend gegeven samen met andere persoonsgegevens bij overheidsinstanties en gezondsheidszorg, dus waar persoonsverwisselingen zeer onwenselijk zijn (en waar computers waarschijnlijk met BSN werken om het makkelijk te maken)

Daarom kun je je bsn beter niet aan jan en alleman geven, want die kennen meestal je persoonsgegevens al.
Als iemand kwaad wil kunnen ze met bsn identiteitsfraude plegen,
omdat veel zaken op afstand gaan waarbij een goede authenticatie met echte identiteitspapieren niet mogelijk is!
04-02-2018, 16:14 door Anoniem
Het is in ieder geval een voorbeeld hoe privacy by design NIET hoort.

Programmeurs zijn zich tegenwoordig nog steeds totaal niet bewust van wat hun code verkeerd kan doen, als het maar werkt...

Ligt dit aan tijdsdruk of zijn creatieve mensen van natuur naïef?
04-02-2018, 16:54 door Anoniem
De overheid kletst uit zijn nek en heeft boter op zijn hoofd.

Een eenmanszaak met BTWnummer is het burgerservicenummer van de oprichter van de eenmanszaak.
Als die eenmanszaak een website heeft moet deze site VERPLICHT het BTWnummer bevatten.
Ook moet de website het adres van de eenmanszaak bevatten, ook als dit slechts het administratie-adres is.
Met andere woorden: als de webshop geen fysiek adres heeft (geen echte winkel) dan ligt je BSN en je adres op straat.
Omdat de overheid dat verplicht stelt.
Diezelfde overheid die adviseert om geen kopie van je ID-bewijs of rijbewijs te laten maken omwille van je BSN.
Datzelfde BSN dat bij de eerste uitvoeringen van het ID-bewijs op de voorkant stond.

Zo kreeg ik een pakket thuis met stickers en posters om mijn klanten uit te leggen waarom ik geen gratis plastic tasjes mocht verstrekken. Had iets met millieu te maken. Jammer alleen dat ik geen fysieke winkel heb en ik die rommel dus ongebruikt bij het oude papier kon dumpen. Kwestie van een betere selectie maken bij de Kamer van Koophandel voordat je mailing de deur uit stuurt.
04-02-2018, 16:59 door Anoniem
Door Anoniem: Het is in ieder geval een voorbeeld hoe privacy by design NIET hoort.
Programmeurs zijn zich tegenwoordig nog steeds totaal niet bewust van wat hun code verkeerd kan doen, als het maar werkt...
Ligt dit aan tijdsdruk of zijn creatieve mensen van natuur naïef?

Dat zal best kunnen maar dat hoeft helemaal niet op deze programmeurs te slaan.
Het enige wat deze programmeurs deden was hun BSN invoeren waarschijnlijk omdat er op invoer een controle zit die alleen ECHTE BSNnummers toestaat in te voeren.

In feite was de kans dus groot als ze een willekeurig BSNnummer hadden ingevoerd dat dit ook van iemand was geweest.
En de kans is heel klein dat de overige data die werd ingevoerd bij zo'n willekeurig, maar correct, BSNnummer hoort.

De enige schuldige is de gene die de data op straat smeten.
Waarschijnlijk de gemeente.
04-02-2018, 17:30 door CykoByte_t - Bijgewerkt: 04-02-2018, 17:30
Door Anoniem: Het is in ieder geval een voorbeeld hoe privacy by design NIET hoort.

Programmeurs zijn zich tegenwoordig nog steeds totaal niet bewust van wat hun code verkeerd kan doen, als het maar werkt...

Ligt dit aan tijdsdruk of zijn creatieve mensen van natuur naïef?
De opleidingen hebben hier een hand in. Vanuit mijn HBO-opleiding wordt mijn werk bijvoorbeeld niet gecontroleerd op veiligheidsproblemen of catastrofale bugs. Zoals je zegt; als het maar werkt, is het prima. Ik zie om mij heen afstudeerders die de meest basale fouten nog maken. Dan heb ik het over malloc() aanroepen zonder ooit aan die free() te denken. Of een array van grootte [4] declareren en dan doodleuk array index 4 proberen te beschrijven/lezen. Maar als het bij de oplevering werkt, is het cijfer binnen en maakt het niet uit.
04-02-2018, 17:40 door karma4 - Bijgewerkt: 04-02-2018, 18:05
Door Anoniem:
Als iemand kwaad wil kunnen ze met bsn identiteitsfraude plegen,
omdat veel zaken op afstand gaan waarbij een goede authenticatie met echte identiteitspapieren niet mogelijk is!
Je geeft exact de faal van BZK logius aan. Het gebrek aan authenticatie.

Wat zegt de overheid zelf?
https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/burgerservicenummer-bsn
"Het nummer ondersteunt een foutloze uitwisseling van persoonsgegevens door overheidsorganisaties. Een organisatie is verplicht om te controleren of u en het BSN bij elkaar horen."

En dat gebeurt uit gemak dan ook niet als is het zelfs bij wet verplicht.
Nog ergerlijker ondanks dat het uitgedragen dat het moet houdt de overheid zichzelf er niet aan.
Leuk dat in het 2006 toelichtingsverhaal het falen van GBA nu BRP en een DDOS als risico gezien wordt. minimaal 12 jaar stilstand. Gezien de eigen kennis zeg ik 25 jaar stilstand op dit vlak. Dat vind je terug in:
http://www.overkleeft-verburg.nl/PDFs/PDFGroot/De%20Wet%20persoonsregistraties.pdf

https://www.rijksoverheid.nl/actueel/nieuws/2007/11/27/burgerservicenummer-in-gebruik-genomen
"Het BSN maakt een einde aan het gebruik van de diverse persoonsnummers door overheidsorganisaties.
https://zoek.officielebekendmakingen.nl/kst-30312-7.html
"Een tweede vorm van misbruik van het BSN bestaat erin dat bij gegevensverwerkingen met opzet een BSN wordt gebruikt dat niet betrekking heeft op de persoon waarvan de gegevens worden verwerkt. Deze vorm van misbruik wordt onder meer tegengegaan door de vergewisplicht van artikel 12 en de mogelijkheden tot het stellen van verificatievragen betreffende de relatie tussen persoon en BSN (artikel 15)."
04-02-2018, 22:22 door Anoniem
Als iemand kwaad wil kunnen ze met bsn identiteitsfraude plegen,
omdat veel zaken op afstand gaan waarbij een goede authenticatie met echte identiteitspapieren niet mogelijk is!
door Karma4: Je geeft exact de faal van BZK logius aan. Het gebrek aan authenticatie.
Daar geloof ik niks van dat ik dat aangaf.

Maar over Logius (BZK) gesproken:
In januari 2010 naamswijziging van GBO.Overheid naar Logius om verwarring met gebruik naam GBO op provinciaal niveau te voorkomen.
bron: https://actorenregister.nationaalarchief.nl/index.php/actor-organisatie/logius-bzk

Allemaal "heel logi(us)sch".
Had je kunnen weten.
05-02-2018, 08:32 door Anoniem
Natuurlijk was het zoveel handiger geweest wanneer bij de introductie van sofi/bsn er een range "test" nummers was afgesproken. Vergelijkbaar met de 127.0.0.x etc. ranges voor ipnummers.
Zoals al eerder opgemerkt kan er in praktijk alleen getest worden met toegekende BSN ook al omdat de rest van de data in de diverse persoonsdatabases ook gevuld moeten zijn. Een paar slim doordachte testgebruikers zou het leven daar een stuk eenvoudiger maken.
Dit alles in tegenstelling tot Digid waar er wel testaccounts mogelijk zijn en gebruikt worden.eHerkenning is daartegen weer een drama.
Waarom die BSN's in de code staan is me dan overigens weer een raadsel,
05-02-2018, 08:43 door eL-Prova
Mag hierbij worden opgemerkt dat BSN nu schijnbaar een probleem is, maar in de AVG (enkel europees) met Uitvoeringswet (NL specifiek) er niets wordt gerept over het BSN. Het wordt daarin ook niet aangemerkt als bijzonder persoonsgegeven!

Wat ik echter niet helemaal snap, als je testdata publiceert, niet zeker weet of er enkel fictieve BSN zijn gebruikt, gooi je toch 1 random bsn erin voor alle waardes?
05-02-2018, 10:19 door Anoniem
Door Anoniem: Nee, BSN is een extra authenticerend gegeven samen met andere persoonsgegevens bij overheidsinstanties en gezondsheidszorg
Dat lijkt toch echt anders te liggen dan jij denkt als je de wet algemene bepalingen burgerservicenummer erop naslaat:
Artikel 12

Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt.
http://wetten.overheid.nl/jci1.3:c:BWBR0022428&hoofdstuk=4&paragraaf=1&artikel=12&z=2014-01-06&g=2014-01-06

Als de gebruiker zich ervan moet vergewissen dat het nummer wel op de persoon betrekking heeft kan het BSN zelf logischerwijs geen middel zijn om dat vast te stellen. Het is geen authenticerend gegeven dus.

Als iemand kwaad wil kunnen ze met bsn identiteitsfraude plegen,
omdat veel zaken op afstand gaan waarbij een goede authenticatie met echte identiteitspapieren niet mogelijk is!
Het wetsartikel dat ik citeerde legt de verantwoordelijkheid daarvoor neer bij degene die het BSN gebruikt. Als die helemaal niet in staat is om dat op afstand goed te doen dan dan is die, weer logisch geredeneerd, dus ook niet in staat die verantwoordelijkheid goed te nemen. Dan zou zaken op afstand doen dus geen optie moeten zijn, of degene die het doet zou het risico daarvoor zonder morren moeten accepteren.

Alleen is het tegenwoordig zo dat zelfs notarissen, juristen dus, hun diensten op afstand aanbieden en daarbij doodleuk scans van identiteitsbewijzen per e-mail afhandelen. Bij je ergens van vergewissen, zoals dat wetsartikel vereist, is het kennelijk in hun ogen geen vereiste dat dat gebeurt op een manier die waterdicht is.

En als je er even over nadenkt is dat ook verdomd moeilijk waterdicht te krijgen. Stel dat je iemand (of dat nou een notaris, een zorgverlener of een baliemedewerker van een bank of hotel is) je identiteitsbewijs laat zien. Die mag dan het documentnummer overnemen, sommigen mogen het BSN overnemen, en sommigen mogen of moeten een kopie of scan maken. Hoe hard is de zekerheid die dat oplevert? Die is niet zo hard als je bedenkt dat mensen zich kunnen verschrijven of andere steekjes kunnen laten vallen en dat er sjoemelaars rondlopen. Er zit een grens aan. En of je dat oplost door er een hoop technologie tegenaan te gooien is maar de vraag, er blijven mensen bij betrokken en die zijn verre van feilloos.

Mensen die zwaar gericht zijn op IT, automatisering en cryptografie zijn daarmee op een niveau van precisie en bewijsbaarheid gericht, en vinden dat ook nodig, waar het grootste deel van de mensheid nog geen begin van benul van heeft. De meeste mensen zijn er veel meer op gericht dingen redelijk vaak goed te laten gaan en zaken recht te zetten en bij te schaven als dat tegen blijkt te vallen, en niet voordat het tot vervelende consequenties leidt, maar pas daarna.

Maar als die vervelende consequenties zich eenmaal voordoen gaan allerlei mensen en organisaties erg hun best doen om te bereiken dat ze zelf niet degene zijn die er last van hebben, en dan krijgt het slachtoffer van identiteitsfraude een probleem in de schoenen geschoven waar de nonchalante manier van werken van een ander de oorzaak van is. De precisie en bewijsbaarheid waar IT'ers zo op gericht zijn had dan een hoop ellende kunnen voorkomen. Er zijn helaas vreselijk veel mensen die daar, zoals ik al stelde, geen begin van benul van hebben.
05-02-2018, 16:49 door Briolet
De volgende quote uit het kamerstuk slaat nergens op:

"Het feit dat er in het testbestand ook echte BSN's zitten is op zichzelf niet betekenisvol, aangezien iedereen een lijst kan maken met alle denkbare BSN's"

Zijn het nu echte of verzonnen BSN nummers? Volgens mij bedoelen ze hier met "echte" BSN nummers gewoon verzonnen BSN nummers waarbij het interne controlenummer geldig is.

Er bestaan gewoon websites en programma's die 'geldige' BSN nummers kunnen genereren. Maar dan zijn het nog steeds geen echte BSN nummers. Ik heb die fictieve nummers ook wel eens gegenereerd toen ik bij een on-line aangifte een nummer moest invullen om verder te kunnen met de aangifte. Het echte nummer had ik toen nog niet bij de hand.

Wel slordig van zo'n programmeur als je je eigen BSN nummer verwerkt i.p.v. een random BSN nummer dat geldig is.
06-02-2018, 01:48 door Anoniem
Door Anoniem:
Door Anoniem: Nee, BSN is een extra authenticerend gegeven samen met andere persoonsgegevens bij overheidsinstanties en gezondsheidszorg
Dat lijkt toch echt anders te liggen dan jij denkt als je de wet algemene bepalingen burgerservicenummer erop naslaat:
Artikel 12

Indien bij het verwerken van persoonsgegevens een burgerservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt.
http://wetten.overheid.nl/jci1.3:c:BWBR0022428&hoofdstuk=4&paragraaf=1&artikel=12&z=2014-01-06&g=2014-01-06
Is in wezen een authenticatie van de andere persoonsgegevens die worden verwerkt. BSN klopt? Dan wordt het verder verwerkt. BSN klopt niet? Dan kan er sprake zijn van fraude, of een typo.

Een met persoonsgegevens kloppend BSN geeft meer zekerheid dat een ingevuld en ingezonden formulier van de betreffende persoon authentiek is dan een niet kloppend BSN. Zo kan men dus fraude vermijden (want hierom waagt men zich er niet aan) of op het spoor komen. Tenzij iemand je persoonsgegevens weet en daarbij met kwade bedoelingen je BSN heeft weten te ontfutselen. Maar geef je je BSN niet gemakkelijk prijs, dan kan fraude in de praktijk weer minder gemakkelijk gebeuren.

Als iemand kwaad wil kunnen ze met bsn identiteitsfraude plegen,
omdat veel zaken op afstand gaan waarbij een goede authenticatie met echte identiteitspapieren niet mogelijk is!
Het wetsartikel dat ik citeerde legt de verantwoordelijkheid daarvoor neer bij degene die het BSN gebruikt.
Nee, de gebruiker hoeft niet de eigenaar te zijn. Uiteraard moet je zelf ook zorgen dat je het juiste BSN nummer invult.
Artikel 13:Degene aan wie een burgerservicenummer is toegekend, dan wel diens wettelijk vertegenwoordiger, kan niet worden verplicht bij het verstrekken van persoonsgegevens aan een gebruiker een ander persoonsnummer te verstrekken dan het burgerservicenummer dat aan hem, onderscheidenlijk aan degene die hij vertegenwoordigt, is toegekend.
Hieruit blijkt overigens ook duidelijk dat de gebruiker en de eigenaar van een BSN niet dezelfde persoon zijn.

Deze controle is uiteraard alleen mogelijk bij degenen die het BSN mogen verwerken.
De zekerheid is niet keihard maar met BSN is er meer zekerheid dan zonder BSN.
(mits je natuurlijk zuinig omspringt met je BSN en hem niet onnodig aan anderen geeft die er niets mee te maken hebben)
De mensen die wel je BSN hebben hoogst zelden de bedoeling om daar fraude mee te plegen.
Als ze het wel doen, komt het na een tijdje meestal uit en zijn ze hun baan kwijt, worden ze geregistreerd en komen nooit meer aan de bak. Maar het is natuurlijk wel een heel gedoe voor degene die het treft. Dat wil je liever niet.

Alleen is het tegenwoordig zo dat zelfs notarissen, juristen dus, hun diensten op afstand aanbieden en daarbij doodleuk scans van identiteitsbewijzen per e-mail afhandelen. Bij je ergens van vergewissen, zoals dat wetsartikel vereist, is het kennelijk in hun ogen geen vereiste dat dat gebeurt op een manier die waterdicht is.
De eis is dat het adequaat beveiligd moet zijn.
E-mail is tegenwoordig in Nederland niet vreselijk onveilig:
- de verbinding naar je e-maillserver is beveiligd
- de verbindingen tussen emailservers zijn tegenwoordig beveiligd
- de verbinding tussen e-mail en de notaris is beveiligd.
Het enige is dat het kopie paspoort open en bloot op de mailserver staat. Wie komt daar bij en doet daar kwaad mee?
Ja, theoretisch kan er van alles misgaan, maar in de praktijk valt het reuze mee.
Maar als je vraagt of het veiliger kan zeg ik misschien.
Je kan ook naar de notaris toegaan. Maar dan kan je onderweg een akelig ongeluk krijgen.

Het is moeilijk om altijd alles volkomen waterdicht te krijgen, maar dat moet je ook niet altijd eisen.
Soms gaat er iets fout, maar na wat doorstane moeiten komt het wel weer goed.
Zo goed mogelijk roeien met de riemen die je hebt in een gegeven situatie en je verstand erbij is alles wat je kan doen,
en meestal is het genoeg om daarmee zonder veel brokken je leven op deze aardkloot te voltooien.
(en als het toch een keer erg fout ging heb je toch geprobeerd naar omstandigheden er het beste van te maken en hoef je jezelf tenminste niets te verwijten)
06-02-2018, 04:47 door Eric-Jan H te D
Door Anoniem: Ik woon in Portugal ,,, Op de geldautomaten kunnen we alle bankzaken regelen en zelfs een visvergunning kopen. ...
Waarschijnlijk allemaal betaald met subsidiegeld vanuit Europa en het geld waarmee hun banken moesten worden gered.
06-02-2018, 10:38 door Anoniem
Door Briolet: De volgende quote uit het kamerstuk slaat nergens op:

"Het feit dat er in het testbestand ook echte BSN's zitten is op zichzelf niet betekenisvol, aangezien iedereen een lijst kan maken met alle denkbare BSN's"

Zijn het nu echte of verzonnen BSN nummers? Volgens mij bedoelen ze hier met "echte" BSN nummers gewoon verzonnen BSN nummers waarbij het interne controlenummer geldig is.

Er bestaan gewoon websites en programma's die 'geldige' BSN nummers kunnen genereren. Maar dan zijn het nog steeds geen echte BSN nummers. Ik heb die fictieve nummers ook wel eens gegenereerd toen ik bij een on-line aangifte een nummer moest invullen om verder te kunnen met de aangifte. Het echte nummer had ik toen nog niet bij de hand.

Wel slordig van zo'n programmeur als je je eigen BSN nummer verwerkt i.p.v. een random BSN nummer dat geldig is.

Net als bij postcodes geldt ook voor BSNs en voor IBANs dat als je een geldig exemplaar genereert, die altijd naar een bestaand persoon kan verwijzen (of bij postcode naar adressen), inderdaad omdat er geen afgesproken testrange apart gehouden is. (hetzelfde geldt voor geboortedata, maar die wijzen niet gelijk naar één persoon en een BSN wel en een IBAN ook in de meeste gevallen).

Als dat vervolgens door de AP beschouwd wordt als een persoonsgegeven dan, inderdaad, kun je niet zonder gebruik van persoonsgegevens ontwikkelen of testen.

Lijkt me fijn als de AP niet alleen moppert maar ook even aangeeft hoe men dat op zou kunnen lossen. Het idee van de AVG is tenslotte om de privacy van de burger te verhogen, niet om minpunten uit te delen.
06-02-2018, 13:20 door Anoniem
Door Eric-Jan H te A:
Door Anoniem: Ik woon in Portugal ,,, Op de geldautomaten kunnen we alle bankzaken regelen en zelfs een visvergunning kopen. ...
Waarschijnlijk allemaal betaald met subsidiegeld vanuit Europa en het geld waarmee hun banken moesten worden gered.
Heeft waarschijnlijk minder gekost dan de banken in Nederland :-)
06-02-2018, 21:32 door karma4
Door Anoniem: Is in wezen een authenticatie van de andere persoonsgegevens die worden verwerkt. BSN klopt? Dan wordt het verder verwerkt. BSN klopt niet? Dan kan er sprake zijn van fraude, of een typo.
Zo moet het dus juist niet.
Dat is nu net de gangbaar gemaakte fout die alle ellende veroorzaakt. Je moet eerste vergewissen dat het BSN klopt.
Vraag het eens aan gekaapte BSN voor geldezels en misbruik van een naam BSN zoals Kevin Goes.
Je bsn met naam zwerft op veel meer plekken rond dan jij voor mogelijk houd. Elke overheidsinstantie opleiding werk inkomen en gezondheid hangt er met een koppeling aan. "Ah we hebben een BSN gevonden die werkt, onze administratie klopt en als het de verkeerde persoon is? Niet ons probleem."

De mensen die wel je BSN hebben hoogst zelden de bedoeling om daar fraude mee te plegen.
Als ze het wel doen, komt het na een tijdje meestal uit en zijn ze hun baan kwijt, worden ze geregistreerd en komen nooit meer aan de bak. Maar het is natuurlijk wel een heel gedoe voor degene die het treft. Dat wil je liever niet.
Dat hoogste zelden valt vies tegen elke geval is er een te veel, Gedegen controle Persoon - BSN aan de basis niet achteraf.


De eis is dat het adequaat beveiligd moet zijn.
..
Zo goed mogelijk roeien met de riemen die je hebt in een gegeven situatie en je verstand erbij is alles wat je kan doen,
en meestal is het genoeg om daarmee zonder veel brokken je leven op deze aardkloot te voltooien.
(en als het toch een keer erg fout ging heb je toch geprobeerd naar omstandigheden er het beste van te maken en hoef je jezelf tenminste niets te verwijten)
Leg dan niet de schade bij het slachtoffer neer maar bij degene die de controle gedegen had moeten uitvoeren.
Pas dan komt er druk om correct aan risico beheersing te doen. Degenen die er niets aan kunnen doen krijgen er ook niet de gevolgschade van. Ben benieuwd of het schade verhalen wat met de GDPR mogelijk wordt iets gaat helpen.
07-02-2018, 21:20 door Anoniem
Door karma4:
Door Anoniem: Is in wezen een authenticatie van de andere persoonsgegevens die worden verwerkt. BSN klopt? Dan wordt het verder verwerkt. BSN klopt niet? Dan kan er sprake zijn van fraude, of een typo.
Zo moet het dus juist niet.
Dat is nu net de gangbaar gemaakte fout die alle ellende veroorzaakt. Je moet eerste vergewissen dat het BSN klopt.
Vraag het eens aan gekaapte BSN voor geldezels en misbruik van een naam BSN zoals Kevin Goes.
Je bsn met naam zwerft op veel meer plekken rond dan jij voor mogelijk houd. Elke overheidsinstantie opleiding werk inkomen en gezondheid hangt er met een koppeling aan. "Ah we hebben een BSN gevonden die werkt, onze administratie klopt en als het de verkeerde persoon is? Niet ons probleem."
Je haalt de tekst uit zijn verband ). "BSN klopt" houdt in dit verband natuurlijk in: "BSN klopt met de gegeven persoonsgegevens" Mijn antwoord stond in verband met de duidelijk aangegeven tekst van de overheid:
"Indien bij het verwerken van persoonsgegevens een burgerBSNservicenummer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerservicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt."
Daar sloeg "BSN klopt" op. Een verwerker die bevoegd is om het BSN te verwerken (zoals een notaris) mag niet zomaar een kopie paspoort verwerken. Hij/zij zou moeten controleren of het BSN klopt met de persoonsgegevens die er op staan.

De mensen die wel je BSN hebben hoogst zelden de bedoeling om daar fraude mee te plegen.
Als ze het wel doen, komt het na een tijdje meestal uit en zijn ze hun baan kwijt, worden ze geregistreerd en komen nooit meer aan de bak. Maar het is natuurlijk wel een heel gedoe voor degene die het treft. Dat wil je liever niet.
Dat hoogste zelden valt vies tegen elke geval is er een te veel, Gedegen controle Persoon - BSN aan de basis niet achteraf.
Kom maar met een voorbeelden dan. Als er geen BSN was gekomen was het nog veel gemakkelijker geweest om te frauderen, en in de zorg zorgt het voor minder kans op het door elkaar hen halen van personen. Heel vervelend als Harry's been eraf gaat in plaats van Henk.


De eis is dat het adequaat beveiligd moet zijn.
..
Zo goed mogelijk roeien met de riemen die je hebt in een gegeven situatie en je verstand erbij is alles wat je kan doen,
en meestal is het genoeg om daarmee zonder veel brokken je leven op deze aardkloot te voltooien.
(en als het toch een keer erg fout ging heb je toch geprobeerd naar omstandigheden er het beste van te maken en hoef je jezelf tenminste niets te verwijten)
Leg dan niet de schade bij het slachtoffer neer maar bij degene die de controle gedegen had moeten uitvoeren.
Pas dan komt er druk om correct aan risico beheersing te doen. Degenen die er niets aan kunnen doen krijgen er ook niet de gevolgschade van. Ben benieuwd of het schade verhalen wat met de GDPR mogelijk wordt iets gaat helpen.
Iemand moet eerder een nieuwe identiteit kunnen krijgen in geval van maar doorgaande identiteitsfraude. Duurt vaak veel te lang. Maar in de meeste gevallen lopen ID-fraudeurs tegen de lamp.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.