Ik snap dat het BSN nodig is voor sommige zaken, maar na het initieel invoeren hoeft het vrijwel nergens meer zichtbaar te zijn. En als het nodig is voor controle, dan zijn de laatste 3 cijfers voldoende, de kans op een persoon met dezelfde naam en dezelfde 3 laatste nummers van het BSN is verwaarloosbaar klein. Idem geboortedatum, alleen maand/jaar is voor controle al genoeg.

Door gegevens alleen te laten zien op basis van wat er nodig is zal het grootste deel van dit datalek al gedicht zijn.

De testuitslag is maar korte tijd geldig: "Een COVID-19 test is een momentopname" volgens de Rijksoverheid.
Dan zouden in ieder geval de resultaten dus na zo'n maximaal twee weken verwijderd moeten worden, omdat ze daarna geen waarde meer hebben, anders dan geagregeerde statistieken.

Honderd duizenden hebben een DiGiD account aangemaakt uitsluitend voor het doen van belastingaangifte. In het verleden stond er op de pagina waar een DiGiD account kon worden aangemaakt:
U gaat nu uw DiGiD aanvragen. Uw DiGiD bestaat uit inloggegevens waarmee u kunt inloggen bij divers websites van de Nederlandse overheid.
Dus niets meer en niets minder: INLOGGEN BIJ DIVERSE WEBSITES VAN DE NEDERLANDSE OVERHEID.
Dat het mogelijk is om gelijktijdig ook in te loggen bij NIET overheid sites waar gebruikers nooit toestemming voor hebben gegeven werd onder tafel geveegd.
Sinds december 2020 staat op de pagina waar een DiGiD account kan worden aangemaakt:
U gaat uw DiGiD aanvragen Met DiGiD kunt u inloggen op websites van de overheid, het onderwijs de zorg of uw pensioen fonds.
Personen welke dus voor december 2020 een DiGiD account hebben aangemaakt hebben dus nooit en te nimmer toestemming gegeven dat er met DiGiD ingelogd kan worden bij NIET overheid websites.
Dat de pagina om een DiGiD account te maken december 2020 gewijzigd is duid er op dat ook Logius, de automatisering afdeling van BZ in de gaten heeft dat ze ongeoorloofd bezig zijn.
Als nu ook voor de uitslag van een corona test met DiGiD ingelogd kan worden maakt dat de diefstal van persoon gegevens nog riskanter

Gelul, de Jonge. Meer dan een telefoonnummer en een testnummer hebben ze niet nodig. En al helemaal geen persoonsnummer...
Het scenario is dood simpel.
Bel telefoonnummer.
Vraag testnummer aan degene die opneemt.
Kijk of testnummer klopt met wat er in het databeest staat.
Vertel de uitslag.

Moeilijker is het niet. Ik heb er geen adres of persoonsnummer in gezien.


Wat er nu gebeurt is het standaard 'hoop geblaat en we kunnen echt niet anders' om een enorme blunder onder het vloerkleed te vegen.
Kom, Hugo, neem je verantwoordelijkheid. Treed vandaag af. En zorg er voor die tijd nog even voor dat alle betrokkenen een nieuw persoonsnummer krijgen. Dat ben je ze wel verschuldigd!

Faalhaas,

Dan hebben ze kennelijk een koppeling met de Basisregistratie Personen (BRP).
Daarvoor volstaat het BSN zonder adresgegevens.
Dan kan de BRP nog een keer geraadpleegd worden om de adresgegevens voor de brief op te halen. Ze hebben er toegang toe.

Er kunnen redenen zijn om adresgegevens redundant op te slaan, maar die geeft De Jonge hier niet.

Daar kan ik inkomen.
Maar wat ik me afvraag omdat ik nog geen reden heb gehad om mij te laten testen; dus de procedure niet ken:

Wordt er een kopie gemaakt van je ID?

Zo ja, daar heb ik bezwaar tegen.

Als ik bij zo'n teststraat binnen wil komen moet het voldoende kunnen zijn je te identificeren. ID bewijs gezien/gecontroleerd? dan kastje dicht. Géén kopietje ID.

De benodigde gegevens kunnen ook op een formulier ingevuld worden (Naam, adres, woonplaats, geboortedatum, BSN)
Daar moet maar tijd voor zijn. We moeten echt af van alles maar willen automatiseren vanwege tijdwinst. De IT jongens zullen het wel keihard tegenspreken; hun inkomen wordt ermee gedekt, maar het gekwansel met privé gegevens bij de GGD toont aan dat te ver doorgevoerde automatisering evenredig is aan toename van vulnerabilities en fysiek/digitaal uitgevoerde exploitaties daarvan.

Het is toch alles zo doorzichtig als wat.
Ze willen de surveillance maatschappij zo verder optuigen en jagen de mensheid hierin.

Op naar de digitale controle-maatschappij.
Dat wordt je langzaam door de strot geduwd net als met die lange wattenstaaf.
Vrijheid en blijheid, gaan we deze woorden dan maar schrappen uit ons woordenboek?

#sockpuppet

Alleen worden er helemaal geen persoonsgegevens door DigiD gedeeld met een website (overheid of niet-overheid) tot het moment dat je zelf kiest voor inloggen met DigiD. En door voor inloggen met DigiD te kiezen geef je toestemming voor wat nodig is om dat te kunnen laten werken. Er is dus helemaal geen probleem met toestemmingen.

Die toestemming kan je vergelijken met de toestemming die een webwinkel heeft om jouw adresgegevens te verwerken als je die zelf opgeeft om een pakje te laten bezorgen. Het is nogal wiedes dat dat nodig is om te kunnen bezorgen en dat je er zelf voor kiest om dat te laten gebeuren. In dat soort situaties is de AVG praktisch genoeg om niet nog eens een extra toestemming daarvoor te vereisen. Bij inloggen met DigiD is maakt het feit dat je daarvoor kiest het nogal wiedes dat het je bedoeling is dat de bijbehorende verwerking ook wordt gedaan.

Misschien denk je dat als een website inloggen met DigiD ondersteunt die website toegang tot de DigiD-database moet hebben en zo bij de BSNs van alle Nederlanders kan. Maar zo werkt het niet.

Als je, bijvoorbeeld bij de belastingdienst of je ziektekostenverzekeraar, kiest voor inloggen met DigiD dan word je naar de website van DigiD gestuurd. Je usernaam en wachtwoord invullen, en de verificatie met SMS-code (en hoe het ook werkt met de DigiD-app, die heb ik niet), gebeuren op de website van DigiD, buiten het zicht van de website van de belastingdienst, de zorgverzekeraar etc.

Als dat gebeurd is en DigiD weet dat je bent wie je bent dan word je browser weer teruggestuurd naar de website waarop je inlogt, en tegelijk gaat er een bericht van jouw identiteit naar die website. Dat kan door die website op echtheid worden gecontroleerd (daar bieden encryptietechnieken prima oplossingen voor). Op dat moment heeft de website jouw gecontroleerde identiteit en daarmee lukt het inloggen.

Dat betekent dat een persoonsgegeven, je BSN, pas wordt doorgegeven op het moment dat je zelf kiest om met DigiD in te loggen op een website, en niet eerder. De website heeft helemaal geen algemene toegang tot de DigiD-database. Die krijgt, als onderdeel van het inlogproces dat je zelf in gang hebt gezet, een bericht van jouw identiteit. Meer niet. En de toestemming daarvoor heb je zelf gegeven door inloggen met DigiD in gang te zetten en er op de DigiD-website mee door te gaan.

Ok dat snap ik, maar wat daar niet bij staat is waar het voor nodig is om zekerheid te hebben dat je een afspraak met "de juiste persoon" maakt. Wat wordt daar mee bedoeld? Zijn er personen waar je geen afspraak mee mag maken ofzo?
Het lijkt me dat het hele gedoe rond testen en vaccineren gewoon voor ieder individu geldt maar dat er geen belang is om bij te houden om welke persoon het precies gaat. Als je een zwangerschapstest of doosje aspirine gaat halen is het toch ook niet van belang dat je identiteit correct wordt vastgesteld?

“Alleen worden er helemaal geen persoonsgegevens door DigiD gedeeld met een website (overheid of niet-overheid) tot het moment dat je zelf kiest voor inloggen met DigiD. En door voor inloggen met DigiD te kiezen geef je toestemming voor wat nodig is om dat te kunnen laten werken. Er is dus helemaal geen probleem met toestemmingen.”
Er is een zeer belangrijk deel wat hier niet medegedeeld wordt.
Als iemand gehackt is en dat hoeft de persoon welke gehackt is helemaal niet te merken dan kan er ingelogd worden bij NIET overheid sites. De schade welke daardoor veroorzaakt wordt kan gigantisch zijn

Wederom een leugen van De Jonge om te proberen de kamerleden om de tuin te leiden die doorgaans wat minder verstand hiervan hebben. Een code en telefoonnummer of e-mail is voldoende. Eventueel de volledige naam ook, zodat op het bewijs dezelfde naam staat als op het paspoort als je het testresultaat nodig hebt om te kunnen reizen. Maar dat vind ik al erg ver gaan. De identiteit kan simpelweg gecontroleerd worden (tonen ID bij aankomst), maar hoeft verder niet gedetailleerder in het systeem geplaatst te worden. Het bewaren van adresgegevens en het koppelen van testuitslagen aan BSN-nummers is niet alleen onnodig maar ook gevaarlijk!

"Het bewaren van persoonsgegevens is juridisch noodzakelijk en tevens praktisch nuttig"

Oké, zo denken inderdaad mensen die zich niet aan de wet houden. Zoveel mogelijk data registreren is altijd lekker praktisch. Kan nog een keer handig zijn. Komt wellicht nog een keer van pas.

Het probleem is dat de AVG / GDPR voorschrijft dat je zo min mogelijk data bewaart en opslaat voor een zo kort mogelijke periode. Er moet dus kritisch gekeken worden of het ook met minder kan. En hier staat De Jonge weer te blaaskaken over dat het toch echt handig is om alles vast te leggen en 20 jaar te bewaren. Dat die meneer zich even gaat schamen in plaats van te doen alsof wat hij doet toch echt helemaal oké is.

Ik ben net slachtoffer geworden van een datalek bij een bedrijf dat minder data betrof dan de GGD-lek (geen BSN bijvoorbeeld) en je wilt niet weten wat voor ellende daaruit voortvloeit.

Sommige mensen WILLEN het gewoon niet begrijpen. En denken niet "hoe kan ik me aan de wet houden en het goede doen" maar "hoe kan ik langs de wet heen werken en mijn publieke imago redden". Wegwezen met deze gevaarlijke instellingen!
Ik heb dit zooitje nooit vertrouwd. Collega's die zich om een klein hoestje lieten testen en daarmee zich overleveren en hun testuitslagen / DNA / persoonsgegevens allemaal (potentieel) laten koppelen en 20 jaar bewaren in een lek systeem... Ik zag dit al aankomen en heb het gelukkig weer goed aangevoeld. Bij een hoestje blijf je gewoon thuis.

En ik wil nu echt een keer zien dat de overheid en de bestuurders worden aangepakt voor dit wanbeleid, maar vooral vanwege hun arrogante houding daarin. Het zit me echt tot hier...

Even los van hoe het zit, een verwerkingsverantwoordelijke zal in 99,9% van de gevallen zeggen dat deze de gegevens echt nodig heeft. Dat hoeft nog niet te betekenen dat er daadwerkelijk een concrete nut en noodzaak is of dat er onderzoek gedaan is.

In het verleden, ja.
In het verleden sabbelde de duvel op syn duum....

Is het niet zo dat je toestemming moet geven voor bepaalde zaken als je op mijn.Overheid inlogd.

Dat wil ik WEL weten! Schrijf eens een verhaal over wat voor concrete ellende daar nou uit is voortgevloeid, dus niet dat je je onzeker voelde over wat er wellicht zou gaan gebeuren maar echt concrete ellende zoals schade of moeilijke discussies.
Want meestal gaat het er hier alleen over wat er MOGELIJK mis zou kunnen gaan, en dan nog alleen als andere partijen niet zo goed hebben opgelet bij het aanmaken van een contract ofzo.
Dus nu wil ik wel eens weten wat er echt mis gaat en wat dan de ellende is.

Om te beginnen heel veel spam (per e-mail (10x per dag) en per telefoon (3x per dag, ook van buitenlandse nummers)), maar dat is nog niet het ergste.

Daarnaast krijg ik veel op mij toegespitste phishing-aanvallen, waarbij ze proberen om codes te ontlokken, waarmee ze geld kunnen afpakken. Helaas trappen veel mensen daar in. Door de gelekte data komen deze pogingen zeer geloofwaardig over.

Ook merk ik dat er de hele dag accounts worden aangemaakt met mijn gegevens (ik krijg daar e-mails van), zoals Tinder, crypto-exchanges, online veilingen, etc. Ofwel, mijn identiteit wordt misbruikt voor dit soort zaken.

Tevens is het zo, dat je met een combinatie van een aantal simpele gegevens (zoals naam, geboortedatum, postcode) bij veel bedrijven en diensten jezelf kunt verifiëren als je de support-afdeling belt. Op die manier zijn andere slachtoffers van het lek al slachtoffer geworden van SIM-swapping. Dit is met de introductie van eSims ook in Nederland relatief makkelijk uit te voeren. Daarmee kun je nog makkelijker iemands identiteit overnemen, omdat je over iemands telefoonnummer beschikt. Denk aan het oplichten van kennissen of ouders via Whatsapp, maar ook het ontvangen van 2-factor authenticatiecodes via SMS.

Wat ik ook gemerkt heb, is dat datahandelaren mijn gegevens aan het doorverkopen zijn aan Nederlandse energiemaatschappijen of bijvoorbeeld de FNV. Ze beloven die instellingen dat deze data verkregen is via een online win-actie of enquete waarbij ik vrijwillig deze data zou hebben ingevuld en toestemming zou hebben verleend. Dat is uiteraard niet het geval. Ik ga doorgaans erg zorgvuldig om mijn mijn gegevens en zou deze nooit afstaan voor een of andere domme win-actie. Maar zodoende wordt ik nu wekelijke gebeld door bijvoorbeeld FNV en sturen ze me allemaal spam over voordelen van hun lidmaatschap, enzovoort.

Ofwel, mijn gegevens worden dus behoorlijk misbruikt voor financieel gewin en om identiteitsfraude te plegen.

Daarnaast sta ik nu in een openbare database, waarbij duidelijk is dat ik ooit bepaalde hardware heb aangeschaft die betrekking heeft op financiële transacties. Ofwel, mensen weten dat ik over deze middelen beschik. Naast alle pogingen tot oplichting via de telefoon en mail, moet ik dus ook vrezen voor mijn fysieke adres en of er niet op een dag iemand met kwade bedoelingen voor de deur staat.

Nu zie je hoeveel schade een simpele datalek van een marketingdatabase van een bedrijf die niet zo voorzichtig met mijn gegevens omging teweeg kan brengen.

Ik ben ook verbaasd als mensen zeggen "ach, wat kan er nu aangericht worden met deze data" of "ach, wat kan iemand nou doen met een kopie van je paspoort".... Nou... enorm veel. Als iemand ook nog eens beschikt over je geboortedatum en BSN-nummer, zoals in de GGD-lek, dan ben je helemaal klaar.

Ook moet je bedenken dat er mensen zijn die hun adres prive moeten houden (bekende Nederlanders, vermogende mensen, politici, etc) en op deze manier komen deze gegevens ook openlijk beschikbaar online.

Kleine kantoortje moesten weg alles moest geregeld worden in groter kantoren en via internet om kosten te sparen.
Wat natuurlijk grote onzin is, het ging vooral om aandeelhouders, de top die vond dat ze recht hadden op een hogere
beloning, en die gigantische kantoren moeten ook betaald worden. En de gewone burger is hier de dupe van.

Het is toch van de zotten dat iemand zich voor een ander kan uitgeven en dan ook nog daar de schuld bij leggen.
Maar dat is voor die bedrijven geen probleem zolang ze maar hun geld krijgen. De oplossing kan zijn dat de schuld
altijd bij het bedrijf licht zodat ze beter gaan screenen en af van dat jij een nummer bent, want dat is niet meer houdbaar.

Ik begin me een beetje zorgen te maken. Mijn gegevens uit een datalek worden inmiddels misbruikt om een heleboel accounts onder mijn gegevens aan te maken bij Crypto-exchanges, datingsites, tinder, online veilingen, online marktplaatsen, etc.

Je zou zeggen, wat kan iemand voor kwaads aanrichten met alleen je naam, adres, e-mail en telefoonnummer. Dat zijn doorgaans gegevens die je ook aan kennissen of webshops verstrekt. Maar doordat men nu over een database beschikt met deze gegevens van honderdduizenden mensen is het heel makkelijk om deze in bulk te misbruiken. Dat is goedkoper dan van individuen deze info eerst een voor een bij elkaar te plukken.

Ik baal hier enorm van. En ik hekel mensen die hier het effect van zo'n lek proberen te downplayen.

Als ik moet testen zal ik geen email en BSN nummer doorgeven dat weiger ik . Wel naam adres en telefoonnummer kan het dan niet laat ik me niet testen maar ga ook niet in quarantaine dan zie ik wel waar het schip strand. Ik wil niet door criminelen beroofd worden van identiteitsfraude. De Jonge moet gewoon oprotten die is niet capabel hiervoor.