Door Anoniem: De belastingdienst heeft zelf het belastingnummer, later SOFI nummer genoemd,
ingevoerd juist speficiek voor dit soort dingen. Je had dit nummer als kenmerk bij het indienen van je belastingaangifte
en het is dus ook gebruikt als basis voor BTW nummers van eenmanszaken. Helemaal niks mee aan de hand.
Nou, dat stukje BTW nummer voor eenmanszaken is al een informatielek vanwege een samenvoeging van petten die beter achterwege gelaten had kunnen worden. Hoewel een extra BTWnummertje verzinnen dus meer werk is dan een bestaand SoFi/BSNummer hergebruiken, en ze dus werk moesten doen om iets achterwege te laten.
Dan kun je wel zeggen "jamaar ZZPer", maar dat is niet relevant voor de buitenwacht: Die moeten een BTWnummer hebben en hoe dat eruitziet zal ze worst wezen. Dat daar dus een ander nummer voor hergebruikt wordt is inderdaad een onnodig informatielek.
Hooguit rijst de practische vraag waarom je vijftig euro moet lappen om NL en B01 om je SoFi/BSN te mogen plakken en jezelf vervolgens verplicht te vinden het overal bijop te schrijven. Dan hadden we dus ook kunnen concluderen dat ZZPers geen KvK-registratie behoeven want hun BTWnummer heeft toch wel het SoFi/BSN van een bestaand persoon en dat hoef je dan verder niet nog een keer ergens op te schrijven. Maargoed, dat had dus voordeel opgeleverd voor de burger dus daarom interesseert Ambtenaar noch politicus zich voor zulke practische vragen.
Oh, en er is het puntje dat ze de burger werk laten verzetten (nummertje vasthouden, invullen, etc.) om hun eigen werk makkelijker te maken. Dat is afschuiven van werk en de burger wordt er niet voor betaald. Dus lust heeft'ie er niet van, wel last: Zonder zo'n nummer kan de burger ineens minder in de samenleving.
Echter, later heeft de politiek het gebruik van dit nummer uitgebreid tot allerlei andere gebieden, en het omgedoopt tot
BSN. "wat handig, iedereen heeft al een SOFI nummer dus als we dat nou even BSN noemen dan zijn we klaar".
Wellicht had met TOEN bij de belastingdienst aan de rem moeten trekken, maar dat zal om allerlei redenen niet
gebeurd zijn. Wel is daardoor bestaand gebruik van dit nummer ineens in een privacydiscussie terecht gekomen die
er eerst helemaal niet was.
Die privacydiscussie was er wel, maar is door de politiek gewoon stelselmatig genegeerd. Zelfs het oprekken is bij eerste invoering ter sprake geweest en door de overheid weggewuifd. Zowel belastingdienst als politiek hadden beter moeten weten.
Als je een banknummer hebt en zo nu en dan publiceeert (bijvoorbeeld op facturen of je
website) dan ga je ook niet over privacy miepen.
Er zit zeker wel een risico aan. Bijvoorbeeld:
http://news.bbc.co.uk/2/hi/entertainment/7174760.stmEn bijvoorbeeld Donald Knuth is gestopt echte cheques te schrijven precies omdat dat wel een risico bleek te zijn (en omdat bijna niemand die cheques inde; ze werden massaal ingelijst).
Maar een banknummer publiceren is vrijwillig, ze zijn relatief makkelijk te vervangen, en als er misbruik van gemaakt wordt (wat vaker gebeurt dan je er van hoort, want banken) dan is er in ieder geval enige infrastructuur aanwezig om daar iets aan de doen ook al zal de bank proberen zoveel mogelijk niet zelf voor de kosten op te draaien.
De belastingdienst zal er dus wellicht vanuit gegaan zijn dat zijn niet fout zaten en dus ook niet gesommeerd zouden
worden dingen anders te gaan doen, en dat dit wellicht terug gelegd zou worden bij de politiek die hier de schuld van
is.
Iemand moet het werk doen en dat is de belastingdienst als het over belastingen en daaraan gerelateerde zaken gaat. Dit is dus helemaal geen excuus; ze hadden het prima aan kunnen zien komen en hebben er kennelijk voor gekozen om er niet op voor te bereiden. Of mischien is dit het resultaat van het maximum aan competentie daar, zeg het maar.
De overheid had ook je e-mail adres als uniek persoons"nummer" kunnen gebruiken, dan was er vergelijkbare
heibel gekomen alleen dan niet met de belastingdienst.
Natuurlijk, en dat proberen ze ook, zo log je in bij digid. Met de telefoon ("sms verificatie") net zo. Ze proberen namelijk altijd precies hetzelfde kunstje, en het is nooit hun schuld en er zijn altijd mensen die dat ook zo zien. "De overheid verantwoordelijkheid nemen? De idee."
Door Anoniem: Voor alle duidelijkheid: ik vind het ook niet kloppen dat het zo makkelijk is om identiteitsfraude te plegen met een paar gegevens die makkelijk te verzamelen en over te schrijven of te kopiëren zijn. Maar je onderschat hoe diep die manier van werken in (onder andere) onze samenleving verweven is. Technieken waarmee dat verbeterd wordt zijn in ontwikkeling, maar die diepe verwevenheid van achterhaalde manieren van werken haal je daarmee nog niet in een klap uit hoe mensen denken en besluiten.
Die technieken bestaan al en waren rond 2000 al min of meer publiekelijk beschikbaar. (Ik ben even kwijt wanneer ik erover hoorde, of het nu 1997 of 2001 was.) Er was recenter zelfs al een bedrijf dat "zero knowledge-proofs" probeerde te vercommercialiseren, maar opgekocht en de opkoper wist niet wat ermee te doen.
En mocht dat wel lukken dan zal je zien dat het probleem niet is opgelost omdat social engineering zo goed werkt bij mensen die tot in de kern van hun wezen goed van vertrouwen zijn of die techniek niet snappen of door ouderdom niet meer snappen.
Dat is natuurlijk geen excuus om niet te zorgen dat de techniek a) goed werkt en b) robuust is tegen dat soort misbruik. Nu hebben we het omgekeerde: De techniek is niet robuust en werkt ook al niet lekker. En problemen oplossen, ho maar.
Het is niet iets waar we makkelijk vanaf komen en het is terecht dat het niet behandeld wordt alsof dat wel zo is, zelfs al heb je een logisch argument. De samenleving is in een hoop opzichten niet logisch en dat moet je niet negeren.
Nou, in dit geval is het hele feest verzonnen, vormgegeven, opgezet, ingevoerd, verplicht gesteld, en zo verder, door precies de overheid zelf, en niet eens ten bate van de samenleving. Dan mag je het zeker wel naar de overheid kijken als ze het door henzelf geschapen probleem niet weten op te lossen.
Dat het een diep probleem is, ja inderdaad. Maar dan zie je gelijk waarom je architecten nodig hebt die vooruit kunnen kijken. Dat scheelt namelijk vreselijk kostbare problemen later. Dat we zulke mensen niet op de juiste posten hebben weten te krijgen (want er moesten politieke vrindjes of "meer ervaren" Ambtenaren op die stoeltjes zitten) kun je op heel erg veel plekken zien in deze overheid.