image

Kabinet werkt aan breder gebruik van BSN buiten de overheid

dinsdag 22 december 2020, 11:00 door Redactie, 15 reacties

Het kabinet is bezig met verschillende stappen om het burgerservicenummer (BSN) breder buiten de overheid te kunnen gebruiken. Hiervoor wordt gekeken naar nieuwe wettelijke criteria en mogelijkheden binnen de huidige de wet- en regelgeving. Dat laat staatssecretaris Knops van Binnenlandse Zaken aan de Tweede Kamer weten.

Volgens Knops is er een toenemende vraag onder niet-BSN-gerechtigde organisaties om het BSN te mogen gebruiken en/of om geautoriseerd te worden voor toegang tot gegevens over burgers die door de overheid worden bijgehouden. Hiervoor wordt er naar verschillende oplossingen gekeken. Het zou dan kunnen gaan om oplossingen om de eigen gegevens waarover organisaties beschikken te matchen met gegevens in de overheidsvoorzieningen.

Een andere oplossing die wordt onderzocht voor gevallen waarin het BSN niet mag worden gebruikt is die van de zogenaamde decentralized identifier (DID). Daarmee kan een burger een uniek, van zijn of haar BSN afgeleid, nummer afgeven aan een organisatie, die dat nummer kan verifiëren zonder dat daarvoor het BSN zelf hoeft te worden gedeeld, schrijft Knops.

Hij voegt toe dat deze oplossingen niet voor alle organisaties geschikt zijn. Het kan ook nodig zijn om een specifieke wettelijke grondslag te maken die organisaties in staat stelt om het BSN te gebruiken. Het gebruik van het BSN is sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) geregeld in artikel 46 van de Uitvoeringswet AVG (UAVG). Het kabinet overweegt dit artikel aan te passen zodat voor BSN-gebruik steeds een specifieke formeel wettelijke grondslag nodig is.

Naar aanleiding van deze aanpassing kunnen er vervolgens criteria worden opgesteld voor breder BSN-gebruik. Naast het vaststellen van deze criteria loopt er een aantal trajecten om binnen de huidige mogelijkheden die de wet- en regelgeving bieden het gebruik van BSN buiten de overheid uit te breiden. Zo wordt voor banken overwogen om gebruik van het BSN toe te staan bij de bestrijding van witwassen.

"Bijna vijftien jaar na de invoering van het BSN kunnen we constateren dat het BSN-stelsel voor een groot deel voldoet aan de doelstellingen. Maar we zien ook dat waar het gaat om veiligheid en gebruik nieuw beleid nodig is. Waarbij een goede balans moet worden gevonden tussen efficiënte dienstverlening en bestrijding van misbruik enerzijds en bescherming van privacy anderzijds. De eerste stappen zijn gezet, er ligt een basis voor verdere beleidsontwikkeling in de komende jaren", besluit de staatssecretaris.

Reacties (15)
22-12-2020, 11:21 door Anoniem
Men moet het BSN zo algemeen maken dat je het net zo gemakkelijk afgeeft als je telefoonnummer of je bankrekening
nummer. Dwz je loopt geen enkel risico als iemand anders je BSN weet omdat niemand meer zo gek is om aan het weten
van een BSN een of andere speciale status toe te kennen, zoals de mogelijkheid om toeslagen aan te vragen of een
contract op afstand af te kunnen sluiten.
22-12-2020, 11:23 door Anoniem
Natuurlijk zijn er meer organisaties die toegang tot de gegevens opgeslagen bij de overheid willen.
Het liefste bij alles. Waarschijnlijk heeft de eigenaar van de gegevens, de burger, er weer niks over te zeggen.
22-12-2020, 12:18 door Anoniem
Ja dat is niet handig,want dan gaat er zomaar meer misbruik van persoonlijke gegevens plaatsvinden.
22-12-2020, 12:22 door Anoniem
Door Anoniem: Natuurlijk zijn er meer organisaties die toegang tot de gegevens opgeslagen bij de overheid willen.
Het liefste bij alles. Waarschijnlijk heeft de eigenaar van de gegevens, de burger, er weer niks over te zeggen.

Je kunt je beter druk maken wat jij allemaal achterlaat bij Google, FB, Twitter , MS, Whatsapp, Apple etc.
22-12-2020, 12:51 door Anoniem
Hier vliegen Knops en het kabinet keihard uit de bocht.
Het bsn moest expliciet NOOIT een opmaat of vrijbrief of inspiratie worden om een surrogaat of afgeleide daarvan buiten primaire toepassingen te kunnen dienen.
Nergens, behalve waar identificatie wel een wettelijk en dan ook enkel proportioneel gerechtvaardigd vereiste kan zijn.
Mits dat uit hoofde van de taak gemachtugd is en de situatie daartoe enkel vrijwillig - dus ongebonden aan verdere verplichtingen of onderlinge persoonlijke verhoudingen tussen vrager en toehoorder - kan worden aangegaan en daarvan kan worden afgezien. Waar belasting aangifte, kentekenbewijs, aanvraag bewiis van goed gedrag en dergelijke de enige uitzondering in meest enge zij uitlegbaar op die regel moesten blijven, aldus de minister.

Bijkomend was de minister ook ongekend expliciet in kwalificaties over eventueel toch afwijken daarop door dat of opvolgende kabinetten. Bij afwijkingen op die minimale harde omkadering waarbij bsn wel gerechtvaardigd was, kon zo'n regering "enkel het stempel volstrekt onbetrouwbaar" krijgen "en bovendien zeer problematisch onbetrouwbaar vanwege wat ze dan zogenaamd scope-creep noemen bij zeer elementaire middelen die enkel en uitsluitend een zeer beperkte rol in het maatschappelijk verkeer horen te spelen en al helemaal niet bij partijen buiten de overheid of ambtenaren binnen de overheid waar identificatie uberhaupt nog geen primair vereiste is voor het contact tussen burger/ingezetene of persoon met tijdelijke verblijfsvergunning en overheid."
Dit omdat,naast de AVG waar dat ook onderdeel is van een veel groter belang, de principes van een vrije westerse samenleving volgens mij als minister nooit en te nimmer onder druk mogen komen te staan.
En al helemaal niet op een dergelijke wijze, aldus de minister.
22-12-2020, 13:34 door Erik van Straten - Bijgewerkt: 22-12-2020, 13:43
Je kunt er, met dit plan, op wachten dat allerlei commerciële partijen BSN's gaan opslaan, met twee (privacy+security) risico's:
1) Er zullen, ook zonder toestemming en/of dit legaal is, veel meer databases met elkaar gekoppeld gaan worden;
2) Het aantal databases met sterk identificerende gegevens (BSN's) dat op straat belandt, zal explosief toenemen - waardoor ook punt 1 een groter probleem wordt.

Veiliger is het als het huidige BSN wordt vervangen door een lang random (cryptografisch gegenereerd) getal P, dat uitsluitend mag worden verwerkt in de BRP en bekend is (mag zijn) bij de betreffende persoon.

Elke organisatie die gegevens van deze persoon voor een specifiek doel wil verwerken, genereert daartoe, voor dat specifieke doel, eveneens een random (cryptografisch gegenereerd) getal R - dat niet geheim is, bijv op de website van de organisatie gepubliceerd wordt. Die organisatie mag dan, als unieke persoons-identifier, een HMAC "H" van beide getallen (P per persoon en R voor het doel) opslaan. Het veiligst is het natuurlijk als die organisatie P zelf niet in handen krijgt (maar zonder app, PC-software of dedicated apparaatje is dat lastig te verwezenlijken).

Indien daartoe bevoegde instanties moeten vaststellen dat het om een specifieke persoon gaat, kunnen zij, met de juiste P uit de BRP en de doel-identifier R, H afleiden en vaststellen dat het (wel/niet) om dezelfde persoon gaat.

Het (privacy- en security-) voordeel hiervan is dat er per doel andere unieke persoons-identifiers worden opgeslagen, waardoor het koppelen van meerdere databases met allemaal dezelfde identifier (zoals het huidige BSN) niet zonder meer mogelijk is, en ook het op straat belanden van zo'n database een minder groot drama hoeft te zijn.

Het principe achter dit voorstel heb ik eerder toegelicht in https://www.security.nl/posting/682818/Landelijke+inenting-DB%3F. Ook als dit geen handige oplossing is, moeten we iets doen om te voorkomen dat iedereen maar ongeremd data van ons gaat verzamelen, waardoor -als we zo doorgaan- misbruik en persoonlijke schade onacceptabele vormen aan gaan nemen.

Aanvulling: een veilige "DID" die is afgeleid van het BSN is onmogelijk. Het aantal cijfercombinaties van een BSN is véél te laag waardoor je altijd het BSN kunt terugrekenen uit elke afgeleide.
22-12-2020, 14:31 door Anoniem
Door Anoniem:
Door Anoniem: Natuurlijk zijn er meer organisaties die toegang tot de gegevens opgeslagen bij de overheid willen.
Het liefste bij alles. Waarschijnlijk heeft de eigenaar van de gegevens, de burger, er weer niks over te zeggen.

Je kunt je beter druk maken wat jij allemaal achterlaat bij Google, FB, Twitter , MS, Whatsapp, Apple etc.

In ieder geval niet het BSN. Ook geen kopie paspoort en al helemaal niet het bankrekening of creditcard nummer!

Nieuw en verbeterd. Nog meer fraudemogelijkheden op een en hetzelfde nummer dat niet eens geheim is! De overheid zorgt er als extra service wel voor dat U keihard wordt aangepakt op de fraude die anderen er mee doen. Met als model de toeslagenaffaire, waar men misschien nog het geld terug krijgt voor men op hoge leeftijd overlijdt.
22-12-2020, 14:48 door Anoniem
Door Anoniem: Men moet het BSN zo algemeen maken dat je het net zo gemakkelijk afgeeft als je telefoonnummer of je bankrekening
nummer. Dwz je loopt geen enkel risico als iemand anders je BSN weet omdat niemand meer zo gek is om aan het weten
van een BSN een of andere speciale status toe te kennen, zoals de mogelijkheid om toeslagen aan te vragen of een
contract op afstand af te kunnen sluiten.
Lees: https://ibestuur.nl/weblog/bsn-10-jaar-reden-voor-een-feestje
Zo was het BSN dus bedoeld. Als een betekenisloos nummer. Sterker nog: er is heftig gepleit voor een openbare database met alle uitgegeven BSN, om makkelijk te kunnen checken of een BSN uitgegeven was of niet.

BSN zou nooit betekenis moeten hebben - helaas snapte de politiek het bij invoering ook al niet.
22-12-2020, 14:54 door Anoniem
Doe maar niet. Ik wil bij instanties buiten de overheid zo anoniem mogelijk kunnen zijn of een identiteit hebben die niet gekoppeld is aan andere identiteiten, zoals mijn BSN. Bovendien kan een BSN niet gewijzigd worden als iets mis gaat en op hoe meer plekken ze ermee werken, hoe sneller het op straat ligt (datalekken).

Bovendien maakt dit het mogelijk voor andere instanties om bijvoorbeeld je gegevens te koppelen als het gaat om vaccinatiedatabase, inkomensgegevens van de Belastingdienst, etc. Dus a.u.b. denk na en houd hier z.s.m. mee op. BSN is een unique identifier die binnen de overheid moet blijven.
22-12-2020, 14:54 door Anoniem
Door Erik van Straten: Je kunt er, met dit plan, op wachten dat allerlei commerciële partijen BSN's gaan opslaan, met twee (privacy+security) risico's:
1) Er zullen, ook zonder toestemming en/of dit legaal is, veel meer databases met elkaar gekoppeld gaan worden;
2) Het aantal databases met sterk identificerende gegevens (BSN's) dat op straat belandt, zal explosief toenemen - waardoor ook punt 1 een groter probleem wordt.
Het BSN is niet identificerend. NAW gegevens zeggen meer dan een BSN. Pas als je BSN gaat koppelen (zoals in bedoelde bron systemen) is een BSN identificerend; juit omdat koppelingen worden gelegd.
Zie ook https://ibestuur.nl/weblog/bsn-10-jaar-reden-voor-een-feestje
22-12-2020, 16:49 door Erik van Straten - Bijgewerkt: 22-12-2020, 16:59
Door Anoniem:
Door Erik van Straten: Je kunt er, met dit plan, op wachten dat allerlei commerciële partijen BSN's gaan opslaan, met twee (privacy+security) risico's:
1) Er zullen, ook zonder toestemming en/of dit legaal is, veel meer databases met elkaar gekoppeld gaan worden;
2) Het aantal databases met sterk identificerende gegevens (BSN's) dat op straat belandt, zal explosief toenemen - waardoor ook punt 1 een groter probleem wordt.
Het BSN is niet identificerend.
Totale onzin. Voor alle identificerende gegevens geldt dat zij pas zin hebben zodra zij "gekoppeld" zijn. Als jij stiekem zelf denkt dat jij Napoleon Bonaparte heet, maar niemand dat weet, ben jij de enige die jouzelf aan de hand van die voornaam/achternaamcombinatie kunt identificeren - niet zinvol dus.

Alle uitschrijfbare identificerende gegevens zijn menselijke verzinsels (namen, woonplaats , geboorteplaats, straatnaam en zelfs het decimale stelstel, de jaartelling etc. en dus de geboortdatum) bedoeld om, na de eerste keer koppelen, te worden hergebruikt, en dat proces heet "identificeren". Dat klinkt niet zo overtuigend als "herkennen", waarbij uit "her" blijkt dat dit opnieuw gebeurt na een eerste keer, maar het gaat om hetzelfde.

Een BSN is gewoon een van de vele labeltjes die we "op mensen plakken" met als belangrijk voordeel dat het een uniek persoonsgegeven is (in elk geval zou moeten zijn) in Nederland, en niet wijzigt zodra je verhuist (in tegenstelling tot AW uit jouw NAW gegevens). Als we elkaar met onze BSN's of genoom (een iets langer "verhaal") zouden aanspreken, in plaats van met voornaam en/of achternaam, zou je hetzelfde van die voornamen en achternaam kunnen stellen (die zouden we zelfs kunnen afschaffen, en als je BSN's vervelend vindt kan iets als "Seven of Nine" natuurlijk ook).

Door Anoniem: NAW gegevens zeggen meer dan een BSN.
Zolang ik niet verhuis heb je inderdaad meer aan mijn NAW gegevens (als je iets in mijn voordeel of mijn nadeel zou willen doen) dan aan uitsluitend mijn BSN. Maar dat is alleen maar omdat we met z'n allen hebben afgesproken dat die AW uniek zijn in Nederland (hoewel sommige plaatsnamen niet uniek zijn) en bijv. de postbode mijn brievenbus weet te vinden.

Daarbij: geef mij één voorbeeld van een database met daarin uitsluitend BSN's van alle Nederlanders die ooit geleefd hebben [*]. Zodra je daar iets anders van maakt (bijv. alle BSN's van nog levende Nederlanders, van Nederlanders met een dubbel paspoort of met een Joodse komaf, of die zijn ingeënt tegen SARS-COV-2), neemt de identificerende waarde ervan snel toe. Niet van die kale database, maar van koppelingen die we daarmee bewust en/of onbewust maken. Echter, in de praktijk bevatten databases met records met daarin een BSN altijd aanvullende gegevens die, in nagenoeg alle gevallen, ook identificerend zijn.

[*] En zelfs die is al identificerend: als je de database van vandaag met die van gisteren vergelijkt, weet je welke BSN's gisteren aan mensen zijn gekoppeld (voornamelijk pasgeborenen).

Door Anoniem: Pas als je BSN gaat koppelen (zoals in bedoelde bron systemen) is een BSN identificerend; juist omdat koppelingen worden gelegd.
Klopt, maar dat geldt voor alle uniek identificerende gegevens, of combinaties van identificerende gegevens die zo'n combinatie "voldoende uniek" (voor een specifieke toepassing) maken.

De koppeling met jouw BSN is sowieso al eerder gemaakt - als je jong genoeg bent, vermoedelijk op het moment dat jouw geboorte werd aangegeven. Zodra jouw BSN in minstens één database aan andere identificerende gegevens van jou is gekoppeld, kan dat BSN in jouw voordeel, maar ook in jouw nadeel, worden gebruikt.

Conclusie: een BSN is wel degelijk een identificerend gegeven. En juist omdat het uniek is binnen Nederland, is het een krachtig identificerend gegeven. Inderdaad heb je niets aan uitsluitend een BSN, maar zodra iemand ooit een koppeling tussen zo'n getal en een mens heeft gemaakt (en dat is het geval) kan zo'n BSN in jouw voordeel maar ook in jouw nadeel worden gebruikt. De praktijk is dat BSN's al door veel organisaties (werkgevers, ziektekostenverzekeringen, banken, ...) worden gebruikt in combinatie met andere identificerende gegevens en dus allesbehalve geheim zijn.
22-12-2020, 21:51 door karma4 - Bijgewerkt: 22-12-2020, 22:00
Door Anoniem:
In ieder geval niet het BSN. Ook geen kopie paspoort en al helemaal niet het bankrekening of creditcard nummer!

Nieuw en verbeterd. Nog meer fraudemogelijkheden op een en hetzelfde nummer dat niet eens geheim is! De overheid zorgt er als extra service wel voor dat U keihard wordt aangepakt op de fraude die anderen er mee doen. Met als model de toeslagenaffaire, waar men misschien nog het geld terug krijgt voor men op hoge leeftijd overlijdt.
De toeslagenaffaire was niet zo uit de hand gelopen als men het bsn wel goed gebruikt had.
- onvolledige informatie over het inkomen
- geen correcte informatie uit het BRP
- geen koppeling met de wandel bij een opvangbureau (KOT) trek hem maar door naar ander toeslagen
Doe maar vrij pinnen vooraf bij de overheid dan gaan we achteraf welk kijken of het klopt.
Oeps willekeurige anderen, bulgaren polen etc. gaan ook pinnen .... Fraudejacht ... oeps niet iedereen met rare gegevens fraudeert. Had nu eens al die gegevens wel op orde met een maandelijkse defnitieve afrekening met inkomen per maand. Zo moeilijk is dat toch niet? Een klein probleempje... wat is de primary key?
Je geeft een uitstekend voorbeeld waarom BSN en correcte gegevens gewoon vereist is.

Door Anoniem: Men moet het BSN zo algemeen maken dat je het net zo gemakkelijk afgeeft als je telefoonnummer of je bankrekening
nummer. Dwz je loopt geen enkel risico als iemand anders je BSN weet omdat niemand meer zo gek is om aan het weten
van een BSN een of andere speciale status toe te kennen, zoals de mogelijkheid om toeslagen aan te vragen of een
contract op afstand af te kunnen sluiten.
Eenvoudiger dan dat is het niet. Dank je.
24-12-2020, 13:12 door Anoniem
Technology creep, wie had dat nou ooit zien aankomen, het zou verassend zijn als het de eerste keer is maar dat is het natuurlijk niet.

Het historisch besef is tegenwoordig ook tenenkrommend, privacy wordt slechts nog gezien als iets waar de burger zelf blij van word (en dat mag in deze tijden natuurlijk niet meer, dat is niet solidair ofzo, of niet meer van deze tijd). maar feitelijk is het gewoon een herhaling van zetten met grote verschil dat kwaadwillenden niet meer in de gemeentearchieven hoeven te spitten maar alle data gewoon op hun scherm kunnen toveren. Heette dat eerder nog "efficiency", tegenwoordig benoemen we het dus al voor wat het is; gemakzucht.

De toeslagenaffaire had ook grotendeels voorkomen kunnen worden als mensen eens serieus hun werk zouden doen en hun werk meten aan de wet,daar is geen koppeling voor nodig, dat heet werken.

En de dooddoener "sociale media" is ook zo eentje, dat ongegeneerd datagraaien is enkel mogelijk omdat we in een afschuifwereld leven; Dat valt niet binnen mijn verantwoordelijkheden, dat had iemand anders moeten doen, daar heb ik geen herinnering meer aan, dat zit toch net even anders in elkaar. Niemand is verantwoordelijk maar trekt wel een vet salaris; want verantwoordelijkheden.
27-12-2020, 12:11 door spatieman - Bijgewerkt: 27-12-2020, 12:11
Ga je tanken.
Ah meneer stoffelen, alles goed ? ,zie net dat u een nieuwe lading viagra gekregen hebt, oja, dat is dan 35 euro voor de benzine.
En of facebook krijg je opeens adds, erectie middelen nodig ? ,koop een andere auto.
13-01-2021, 14:54 door Anoniem
Heee, is dat niet dat BSN dat vorig jaar in uw BTW nummer zat?
U weet wel, dat BTW nummer dat nu vervangen moest worden met een BTW id ...?
(waar ongeveer een kamerdebat of 17 en ontelbaar moties over waren)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.