Gemeente Zwolle lekt BSN tweeduizend inwoners via envelop
De gemeente Zwolle heeft het burgerservicenummer van tweeduizend inwoners gelekt door die zichtbaar te maken in het venster van verstuurde enveloppen. De enveloppen, die per post waren verstuurd, waren gericht aan uitkeringsgerechtigden in Zwolle en bevatte formulieren.
In het envelopvenster was echter naast de adresgegevens ook het burgerservicenummer en cliëntnummer zichtbaar, zo meldt De Stentor. De gedupeerde Zwollenaren ontvangen maandelijks een brief van de gemeente. Vijf mensen hebben bij de gemeente geklaagd over het lekken van hun gegevens. Zwolle heeft het datalek inmiddels bij de Autoriteit Persoonsgegevens gemeld.
Het is niet voor het eerst dat er een datalek door envelopvensters ontstaat. Een Amerikaanse zorgverzekeraar verstuurde vorig jaar brieven naar 12.000 mensen, waarbij hun HIV-status via envelopvenster zichtbaar was. Het bedrijf besloot uiteindelijk voor 17 miljoen dollar te schikken.
Reacties (21)
Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
05-08-2018, 10:10 door
Briolet
Door karma4: Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Precies en alleen de postbezorger heeft deze enveloppen onder ogen gehad. Binnen de gemeente zien ook veel ambtenaren het BSN nummer en dan is het ook geen datalek.
In dit geval wil de AP ook nog niet zeggen of dit als een datalek aangemerkt gaat worden.
05-08-2018, 10:34 door
Tha Cleaner
Door karma4: Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
Dat wil nog niet zeggen, dat dit heel slordig is.
Door karma4: De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen.
Ja, we weten het zo langzamerhand wel. En als je reacties op jouw gehamer hierop tot je zou laten doordringen dan zou jij zo langzamerhand wel weten dat de werkelijkheid wat weerbarstiger is dan hoe die vooraf was bedacht. Misbruik van het BSN voor identiteitsdiefstal zou niet moeten kunnen, maar in de praktijk kan het wel. En zolang dat zo is is er reden om voorzichtig te zijn met het rondstrooien van je BSN. Zo moeilijk is dat niet.
05-08-2018, 12:14 door
karma4
Door Tha Cleaner: Dat wil nog niet zeggen, dat dit heel slordig is.
Natuurlijk is het slordig. Nu is een vensterenvelop gebruiken al heel wat beter dan:
- de aparte brieven / enveloppen waarbij je niet zeker bent of de adressering overeenkomt
- dubbelzijdig afdrukken uit het oogpunt van milieu en dan de gegevens van meerdere personen in één envelop krijgen.
Als je het bsn als iets betekenisloos ziet gelijkwaardig aan het naw gegeven, hoe zou een brief verstuurd moeten worden zonder adressering? Je kunt volledig doorschieten met iets als bijzonder en gevoelig aanmerken.
Wat is er op tegen om bij de balie notaris waar dan ook te eisen dat gecontroleerd wordt dat de persoon (naam genoemd identificatie) is die hij beweerd te zijn (lever dat bewijs authenticatie). Een Userid zonder password accepteren voor gevoelige vervolgtransacties is onverantwoord.
Aparte brieven en enveloppen zijn wel weer gewenst als brieven door derde worden aangeleverd maar de derde niet over de persoonlijke gegens mag beschikking van klanten van de gemeente.
De gemeente zorgt dan voor geadresseerde enveloppen en doet zelf de brieven in de enveloppe en verzend deze.
Er wordt tegenwoordig veel uitbesteed door de gemeenten aan kleine bedrijven en ZZP'ers.
Erg zijn nog maar weinig postbodes en de postbezorger zijn niet meer beëdigd en gehouden aan worden aan hun beëdiging.
Verder is niet voor niets het BSN/sofinummer naar de achterzijde van identificatie documenten verplaatst.
De gemeente zorgt dan voor geadresseerde enveloppen en doet zelf de brieven in de enveloppe en verzend deze.
Er wordt tegenwoordig veel uitbesteed door de gemeenten aan kleine bedrijven en ZZP'ers.
Erg zijn nog maar weinig postbodes en de postbezorger zijn niet meer beëdigd en gehouden aan worden aan hun beëdiging.
Verder is niet voor niets het BSN/sofinummer naar de achterzijde van identificatie documenten verplaatst.
Door Briolet:
Precies en alleen de postbezorger heeft deze enveloppen onder ogen gehad. Binnen de gemeente zien ook veel ambtenaren het BSN nummer en dan is het ook geen datalek.
In dit geval wil de AP ook nog niet zeggen of dit als een datalek aangemerkt gaat worden.
Door karma4: Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Precies en alleen de postbezorger heeft deze enveloppen onder ogen gehad. Binnen de gemeente zien ook veel ambtenaren het BSN nummer en dan is het ook geen datalek.
In dit geval wil de AP ook nog niet zeggen of dit als een datalek aangemerkt gaat worden.
Dat een postbezorger enveloppen moet verwerken, wil nog niet zeggen dat hij de inhoud van de post mag zien.
Niet elke ambtenaar zal toegang moegen hebben tot deze gegevens. Er zijn ambtenaren die de dossiers behandelen die dat wel mogen. Ambtenaren die alleen de post versturen, mogen dat niet.
Door Anoniem:Dat een postbezorger enveloppen moet verwerken, wil nog niet zeggen dat hij de inhoud van de post mag zien.
Dat klopt. Gelukkig zal een goedwillende postbode zo'n nummer niet onthouden.
En als het een kwaadwillende postbode is: Die houdt zo'n enveloppe gewoon voor een sterke lamp. Als er niet meer dan 1 velletje in zit, welke in driën gevouwen is, kan hij zo'n bsn ook redelijk eenvoudig lezen als er helemaal geen venster in de enveloppe zit.
NB Ik spreek uit eigen ervaring. Toen ik eens een brief van de gemeente kreeg die wel aan mijn huis, maar niet aan mijn naam gedresseerd was, heb ik de brief eens tegen het licht gehouden. Toen ik zag dat mijn naam in die brief voorkwam, heb ik hem helemaal uitgelezen zonder de enveloppe te openen. Bleek voor een nieuwe buurman te zijn die zich bij de gemeente per ongeluk op mijn huisnummer ingeschreven had.
05-08-2018, 17:00 door
karma4
Door Anoniem: ….. Verder is niet voor niets het BSN/sofinummer naar de achterzijde van identificatie documenten verplaatst.
Function creep van BZK rvig die zich niet aan artikel 12 wabb wil houden en daarbij gesteund wordt door het ap. Het niet aan de wet willen houden heet .... onwettelijk. Een bsn bevat geen informatie en hoort geen rechten te geven.
05-08-2018, 17:01 door
karma4
Door Briolet: ... Bleek voor een nieuwe buurman te zijn die zich bij de gemeente per ongeluk op mijn huisnummer ingeschreven had.
Kijk en dat zou dan net niet mogen toch. Zonder huurovereenkomst eigenaarschap kan je kennelijk zo een adres opgeven.Als het maar administratief werkt bij de gemeente is het goed. Dat is nu net niet het goede criterium.
Door karma4:
In dit geval was het juist goed. De gemeente had geconstateerd dat ik al op dat adres woonde en stuurde een formulier naar de nieuwe bewoner met het verzoek door mij te laten ondertekenen, dat ik eens was met een nieuwe bewoner op mijn adres. Dat was ook de reden dat mijn naam voorkwam in een brief voor mijn buurman.Door Briolet: ... Bleek voor een nieuwe buurman te zijn die zich bij de gemeente per ongeluk op mijn huisnummer ingeschreven had.
Kijk en dat zou dan net niet mogen toch. Zonder huurovereenkomst eigenaarschap kan je kennelijk zo een adres opgeven…Een geluk voor deze man dat de gemeende de inschrijving niet direct uitvoerde en doorgaf naar andere instanties. Er zijn ook gemeentes die dit klakkeloos wel doen, zoals hier ook wel eens vermeldt is.
05-08-2018, 19:10 door
karma4
Door Briolet:
In dit geval was het juist goed. De gemeente had geconstateerd dat ik al op dat adres woonde en stuurde een formulier naar de nieuwe bewoner met het verzoek door mij te laten ondertekenen, dat ik eens was met een nieuwe bewoner op mijn adres. Dat was ook de reden dat mijn naam voorkwam in een brief voor mijn buurman.
...
Nog niet helemaal perfect. Er ging een brief met naam naar een verkeerd adres. Even overdrijven .... datalek.In dit geval was het juist goed. De gemeente had geconstateerd dat ik al op dat adres woonde en stuurde een formulier naar de nieuwe bewoner met het verzoek door mij te laten ondertekenen, dat ik eens was met een nieuwe bewoner op mijn adres. Dat was ook de reden dat mijn naam voorkwam in een brief voor mijn buurman.
...
Ze hebben in ieder geval wel een controle gedaan, achteraf.
Het had bij de aanvraag al gezien kunnen zijn dat de woning al bewoond was.
Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Nogal logisch, een bezorger mag een brief ook niet openmaken, en hoort dus niet op de hoogte te zijn van de inhoud. Iets erover vertellen kan dus per definitie niet (tenzij de bezorger te kwader trouw is).
06-08-2018, 09:57 door
meneer
Door karma4:
Het niet aan de wet willen houden heet .... onwettelijk. Een bsn bevat geen informatie en hoort geen rechten te geven.
Deze interessante casus is nu ook vermeld op de de #FREEtheBSN website https://www.freethebsn.nl". De casus is een prototype van de angst voor het gebruik van het BSN. Simpelweg, als niet wordt voldaan aan de eisen vanuit art 12 van de Wabb, dan kunnen er voor de rechtmatige identiteit achter het bsn geen rechtsgevolgen zijn aan de 'authenticatie'.Door Anoniem: ….. Verder is niet voor niets het BSN/sofinummer naar de achterzijde van identificatie documenten verplaatst.
Function creep van BZK rvig die zich niet aan artikel 12 wabb wil houden en daarbij gesteund wordt door het ap. Het niet aan de wet willen houden heet .... onwettelijk. Een bsn bevat geen informatie en hoort geen rechten te geven.
Een Amerikaanse zorgverzekeraar verstuurde vorig jaar brieven naar 12.000 mensen, waarbij hun HIV-status via envelopvenster zichtbaar was. Het bedrijf besloot uiteindelijk voor 17 miljoen dollar te schikken.
Goh, als je dat in Nederland doet, en het komt tot een schikking, dan zal het eerder gaan om 17 dollar (en waarschijnlijk gewoon noppes) ? ;)
Door karma4:
Ze hebben in ieder geval wel een controle gedaan, achteraf.
Het had bij de aanvraag al gezien kunnen zijn dat de woning al bewoond was.
Door Briolet:
In dit geval was het juist goed. De gemeente had geconstateerd dat ik al op dat adres woonde en stuurde een formulier naar de nieuwe bewoner met het verzoek door mij te laten ondertekenen, dat ik eens was met een nieuwe bewoner op mijn adres. Dat was ook de reden dat mijn naam voorkwam in een brief voor mijn buurman.
...
Nog niet helemaal perfect. Er ging een brief met naam naar een verkeerd adres. Even overdrijven .... datalek.In dit geval was het juist goed. De gemeente had geconstateerd dat ik al op dat adres woonde en stuurde een formulier naar de nieuwe bewoner met het verzoek door mij te laten ondertekenen, dat ik eens was met een nieuwe bewoner op mijn adres. Dat was ook de reden dat mijn naam voorkwam in een brief voor mijn buurman.
...
Ze hebben in ieder geval wel een controle gedaan, achteraf.
Het had bij de aanvraag al gezien kunnen zijn dat de woning al bewoond was.
Zoals Briolet al aangaf.
Hetzelfde als mijn vriendin zich inschrijft op mijn adres. Dan wil ik niet dat de gemeente zegt "daar woont al iemand, verzin maar een ander adres." of "daar woont al iemand, die schrijven we dan wel uit". De door Briolet's gemeente gekozen oplossing is de beste (behalve misschinen een ambtenaar meesturen met die buurman om het adres te controleren).
De buurman heeft het verkeerde adres doorgegeven. Daar kan de gemeente niets aan doen. Als de buurman dat zou doen om te achterhalen wie op dat adres woont, komt hij dat nog steeds niet te weten, omdat de brief naar het door hem opgegeven adres gaat. Als hij daar niet bij kan, kan hij dus ook de naam van de bewoner niet lezen.
Peter
06-08-2018, 19:57 door
karma4
Door Anoniem:
De buurman heeft het verkeerde adres doorgegeven. Daar kan de gemeente niets aan doen. Als de buurman dat zou doen om te achterhalen wie op dat adres woont, komt hij dat nog steeds niet te weten, omdat de brief naar het door hem opgegeven adres gaat. Als hij daar niet bij kan, kan hij dus ook de naam van de bewoner niet lezen.
Peter
Een betere aanpak was geweest:De buurman heeft het verkeerde adres doorgegeven. Daar kan de gemeente niets aan doen. Als de buurman dat zou doen om te achterhalen wie op dat adres woont, komt hij dat nog steeds niet te weten, omdat de brief naar het door hem opgegeven adres gaat. Als hij daar niet bij kan, kan hij dus ook de naam van de bewoner niet lezen.
Peter
- u zegt dat u daar en daar gaat wonen. Vraag: Met welk aantal bewoners gaat dat in totaal gebeuren? (controle vraag)
Nieuwe bewoner: huis staat leeg ik ben de enige toekomstige bewoner.
- Ambtenaar controleert dat en zit dat het niet klopt, er woont al iemand op dat adres. (naam niet nodig).
Dan kan er meteen de controle gestart worden of het het goede adres betreft of er een ander iets is.
Niemand hoeft lastig gevallen te worden en er is geen brief of wat dan ook nodig naar iemand die daar niets aan kon doen.
06-08-2018, 20:00 door
karma4
Wel ja: https://www.rtlnieuws.nl/technieuws/selfies-nederlandse-tieners-met-rijbewijs-doorverkocht-op-darkweb
"Het CMI raadt mensen aan om geen kopie van een identiteitsbewijs aan particulieren te geven, en alleen aan organisaties met een wettelijke taak, zoals je bank of werkgever. Moet je toch een kopie van je identiteitsbewijs geven, bijvoorbeeld als je een auto wil huren? " Het CMI valt onder BZK RVIG, ze hebben echt artikel 12 van de wet WABB gemist.
In die ene alinea staat dat je bsn overal rondslingert maar dat er geen controle is of persoon er wel bij hoort en dat je als slachtoffer nog eens slachtoffer gemaakt wordt.
"Het CMI raadt mensen aan om geen kopie van een identiteitsbewijs aan particulieren te geven, en alleen aan organisaties met een wettelijke taak, zoals je bank of werkgever. Moet je toch een kopie van je identiteitsbewijs geven, bijvoorbeeld als je een auto wil huren? " Het CMI valt onder BZK RVIG, ze hebben echt artikel 12 van de wet WABB gemist.
In die ene alinea staat dat je bsn overal rondslingert maar dat er geen controle is of persoon er wel bij hoort en dat je als slachtoffer nog eens slachtoffer gemaakt wordt.
Door karma4: Wel ja: https://www.rtlnieuws.nl/technieuws/selfies-nederlandse-tieners-met-rijbewijs-doorverkocht-op-darkweb
"Het CMI raadt mensen aan om geen kopie van een identiteitsbewijs aan particulieren te geven, en alleen aan organisaties met een wettelijke taak, zoals je bank of werkgever. Moet je toch een kopie van je identiteitsbewijs geven, bijvoorbeeld als je een auto wil huren? " Het CMI valt onder BZK RVIG, ze hebben echt artikel 12 van de wet WABB gemist.
In die ene alinea staat dat je bsn overal rondslingert maar dat er geen controle is of persoon er wel bij hoort en dat je als slachtoffer nog eens slachtoffer gemaakt wordt.
Ruim boven die ene alinea staat deze zin: "De rijbewijsselfies duiken met name op bij Marktplaatsfraude.""Het CMI raadt mensen aan om geen kopie van een identiteitsbewijs aan particulieren te geven, en alleen aan organisaties met een wettelijke taak, zoals je bank of werkgever. Moet je toch een kopie van je identiteitsbewijs geven, bijvoorbeeld als je een auto wil huren? " Het CMI valt onder BZK RVIG, ze hebben echt artikel 12 van de wet WABB gemist.
In die ene alinea staat dat je bsn overal rondslingert maar dat er geen controle is of persoon er wel bij hoort en dat je als slachtoffer nog eens slachtoffer gemaakt wordt.
Dit gaat helemaal niet over het controleren van een BSN door een partij die er gebruik van mag maken, de Wabb is hier helemaal niet op van toepassing.
Door karma4: Er geld een briefgeheim de bezorger kan niets mag niets over de inhoud vertellen.
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
Een BSN zegt niets over een persoon, het is een uniek identificerend iets om de overheidsadministraties niet op te zadelen met onnodige persoonsverwisselingen. Heel verhelderende om deze eens door te lezen:
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
"Een persoonsnummer heeft betrekking op wie iemand is, niet op wat de betreffende persoon mag. Aan het burgerservicenummer kunnen geen rechten worden ontleend."
De functioncreep is ontstaan door overtreding van artikel 12 van de WABB. We weten niet hoe we moeten controleren of het bsn en de persoon bij elkaar horen. Als we het bsn hebben maken we in iedere geval de administratie naar wens van de persoon die zich gemeld heeft. Als het de verkeerder persoon is, dan zoekt het slachtoffer het maar uit.
Dat is nu net wat artikel 12 moest voorkomen..
#freethebsn
Het probleem is alleen dat op de brief naast het BSn nummer ook de NAW gegevens, en met die combinatie kunnen kwaadwillenden abonnementen, hypotheken en wat niet al afgesloten worden. Kan men zelfs op jouw naam een functie aanvaarden.
08-08-2018, 14:04 door
cjkos
Door karma4:
Het niet aan de wet willen houden heet .... onwettelijk. Een bsn bevat geen informatie en hoort geen rechten te geven.
Door Anoniem: ….. Verder is niet voor niets het BSN/sofinummer naar de achterzijde van identificatie documenten verplaatst.
Function creep van BZK rvig die zich niet aan artikel 12 wabb wil houden en daarbij gesteund wordt door het ap. Het niet aan de wet willen houden heet .... onwettelijk. Een bsn bevat geen informatie en hoort geen rechten te geven.
Het geeft je ook geen rechten, het geeft je wel plichten jegens de overheid/belastingdienst/zorginstellingen. :)
Aangezien het BSN zelfs tot na je dood aan jou gekoppeld blijft. identiteitsfraude is juist mogelijk door dit BSN nummer. Geen rechten, wel mogelijkheden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
