Het blijft altijd bijzonder, zulk nieuws. (Niet naar Security.nl, blij dat ze bestaan!).
Een BSN zichtbaar in het venster van een envelop, ramp! Terwijl je BSN voornamelijk een veredelde naam+achternaam is, en iedere hotelhouder, bank, fintech, etc bedrijf waar je ooit zaken mee hebt gedaan _verplicht_ je paspoort hebben gekopieerd. Inclusief BSN en nog veel meer.

Ik kan mij voorstellen dat de voor- en achterkant van elke brief bij PostNL automatisch ingescand wordt en enkele weken wordt bewaard.

Of dit een probleem is weet ik niet. Er kunnen vast niet veel mensen bij die fraude willen plegen.

PostNL maakt van alle brieven die ze verwerken een foto. Als ik post op mijn privé adres krijg, kan ik de foto's van de voorkant van de brieven 's ochtends al zien in de app. Dat houdt in dat al deze BSN nummers nu ook in het bestand staan van PostNL. Wel als plaatje en niet als tekst, maar er zullen vast wel medewerkers toegang hebben tot deze afbeeldingen. (En niet alleen de postbode die ze in de bus doet).

Eh... Hadden ze dat niet moeten doen VOOR ze brieven gingen sturen? Maarja, het zijn maar gegevens van een ander, dus zolang het geen boete oplevert: wat boeit het?!

Maar niemand weet zeker meer of dit geen boete oplevert. En de bedoeling van het boetesysteem is dat de boete duurder is dan het goed beveiligen van de gegevens zou zijn geweest. Dan leren mensen.

Overigens legt dit weer eens de vinger op de zere plek dat het hele BSN-systeem de robuustheid heeft van een wijnglas...

Nee er staat juist: Ook de Fraudehelpdesk stelt dat het risico op identiteitsfraude met alleen een burgerservicenummer klein is. "Daar kun je niet zo veel mee", stelt woordvoerster Tanya Wijngaarde.

Kennelijk begint dit meer de waarheid te worden, waarschijnlijk zijn veel bedrijven en instanties inmiddels wel afgestapt van identificatie van personen door "weten van naam en BSN (evt met geboortedatum)".
Misschien zou daar meer reclame mee moeten worden gemaakt. Als iedereen weet dat een BSN op zich niet waardevol is dan is het hele probleem opgelost.

Bedenk dat de speciale status die aan BSN hangt niet is aangebracht om "het uitlekken van een BSN" af te dekken, maar omdat het opslaan van een BSN bij allerlei gegevens er voor zorgt dat je bestanden van verschillende bron gemakkelijk aan elkaar kunt koppelen. Dat is ook het doel van BSN, maar dit is niet altijd gewenst. Daarom is het niet de bedoeling dat Facebook je BSN opslaat en een webwinkel ook niet, want dan zouden die twee allerlei op jou betrekking hebbende informatie makkelijk kunnen uitwisselen. Dus mag je BSN niet verwerken als daar geen grondslag voor is.
Echter dit heeft NIETS te maken met scenario's zoals in dit artikel.

In bijvoorbeeld Zweden wordt je 'SOFI/BSN' nummer overal voor gebruikt.
Internet glasvezel abbootje? personnummer... garagebox huren? personnummer..

Maar daar snappen ze dat het een IDENTIFICATIE is, niet een AUTHENTICATIE...

Helaas zijn veel organisaties en overheden in Nederland nog steeds van de indruk van adres, geboortedatum, sofi/bsn en eventueel laatste 3 cijfers van je bankrekening en dan kun je bij veel instanties ALLES doen...

Dus die muts van de fraude helpdesk snapt het niet helemaal...
Er is een verschil over hoe iets ZOU moeten werken en hoe het in NEDERLAND werkt...

Wanneer ik dus een brief van iemand van de DUO onderschept, heb ik #1 adres, #2 naam, #3 geboortedatum #4 gehele bankrekeningnummer, dus niet alleen de laatste 3, en nu ook het sofi/BSN nummer... Geloof me muts van fraude helpdesk, als u mij die gegevens van U geeft, zal ik u laten zien hoeveel shit ik daarmee kan bewerkstelligen..

Is er een wet of regel die zegt dat DUO het BSN nummer in het NAW venster-vak van een brief MOET printen?
Of is het venster-vak van de DUO-envelop zo groot dat je de hele brief er door kan lezen?

Dat het elders in de brief (of op de achterkant van de brief) staat, zou geen issue hoeven zijn. (Tenzij brieven naar verkeerde personen of adressen gestuurd worden)

Boetes zijn de enige manier. Alleen dan leren ze het af.

Ik heb een zolder vol excuses.

Daar hebben we geen boodschap aan.

We kunnen net zo goed gelijk ons BSN nummer massaal op internet zetten.

Dat is schijnbaar de enige manier om de druk op te voeren.

Het antwoord op je vragen staat in de eerste zin van het artikel: het is een menselijke fout bij de opmaak van de brieven.

Het idee van vensterenveloppen is dat het adres zo op de eerste bladzijde van een brief wordt afgedrukt dat die precies onder het venstertje terechtkomt. Dan moeten gegevens die daar niet zichtbaar moeten zijn, zoals het BSN, natuurlijk wel op voldoende afstand ervan worden afgedrukt om niet, ook niet als je een beetje schudt en schuift, zichtbaar te worden door dat venster. Het is duidelijk dat de opmaakfout inhoudt dat het BSN te dicht bij het adres terechtkwam. Wie weet scheelde het net een bijna lege pagina door in de lege ruimte aan het begin een regeltje weg te halen, of zoiets knulligs.

Het gaat hier om 1700 brieven. Die worden echt niet meer handmatig in enveloppen gestopt, die worden gezamenlijk op een snelle laserprinter afgedrukt en gaan een enveloppeermachine in die ze razendsnel vouwt en in enveloppen stopt, waarna ze de deur uitgaan. Dat betekent dat degene die zo'n brief opstelt het resultaat helemaal niet meer te zien krijgt en daaroor ook niet zijn met zijn of haar fout wordt geconfronteerd. En degenen die op de postkamer werken waar dit allemaal gebeurt zullen ook niet allemaal de scherpste mensen zijn als het op dit soort details aankomt, die zullen zo'n batch vaak genoeg gewoon verwerken en de deur uitdoen zonder op te merken dat er iets niet deugt.

Bij overheidsorganisaties is media/openbaarheid van dit soort knulligheden meer effectief dan een boete. Openbaarheid, kamervragen, etc. raakt de verantwoordelijke van openbare organisaties veel harder dan een boete. Een boete aan een overheidsorganisatie is niet veel meer dan rondpompen van geld.

Als een BSN alleen gebruikt wordt om data bij de overheid intern te verzamelen/groeperen, waarom moet het dan op brieven worden gezet.....
De overheid weet toch aan wie ze brieven adresseert, zonder daar het BSN bij te hoeven vermelden?

Doe niet zo zuur! Het boeit hen wél! Zij hebben als eerste hun excuses aan de gedupeerden aangeboden.

Ik denk dat als je in de situatie zit dat je wel eens verward wordt met iemand anders (bijvoorbeeld iemand met dezelfde voorletter die op dezelfde datum geboren is) je het wel prettig vindt dat als extra bevestiging dat die brief over jou gaat het BSN er op geprint is.
Dat is ook de reden waarom BSN is ingevoerd. Simpele zielen denken natuurlijk "nergens voor nodig, check gewoon de naam en geboortedatum" maar die zijn niet uniek, en BSN in dit soort gevallen wel.

Eindelijk weer eens iemand met een reeele blik op hoe dat gaat. Verfrissend in vergelijking met al die leunstoeldeskundigen die het allemaal zo goed weten en denken dat die mensen die die brief maken zo dom zijn.

Alleen de handgeschreven of voorgedrukte postadressen op de enveloppen en op ansichtkaarten worden door PostNL machinaal ingelezen. Gegevens die niet gerelateerd zijn aan Nederlandse postcode adressen worden genegeerd:

https://nl.wikipedia.org/wiki/KIX-code


Niet waarschijnlijk. De wakkere afdeling ICT van PostNL leest inmiddels decennia mee met Security.NL. Het gedeelte van de ingescande DUO enveloppen met het BSN zal inmiddels als onherkenbaar zijn gemaskeerd, PostNL kennende.

Wel nee, de inkomsten van de boetes moeten gewoon bij de burgers terecht komen.

En voor de rest lullen ze zich er toch wel uit of we zijn weer vier jaar verder.

Het is 1 lange rij van oeverloos gezever en als ze eenmaal op gang zijn stoppen ze ook weer veel te laat behalve als het hun eigen belangen schaadt in het kader van landsbelang.

Een soort olifant die niet wil opstaan en als die eenmaal loopt door alle porselein kasten raust onderwijl trompetterend "SORRY" en problemen heeft met massatraagheid noij het afremmen totdat die een pinda ziet.

Onjuist, een hotelhouder mag geen paspoort/ID kopieren.

Hotels en (online) identificatie
Een hotel is wettelijk verplicht enkele gegevens bij te houden: type identiteitsdocument, naam, woonplaats, type indentiteitsbewijs, aankomstdatum en vertrekdatum. Niet meer dan dat, dus een kopie maken van een identiteitsbewijs is niet nodig. Ook het nummer van de ID-kaart of rijbewijs mag worden genoteerd. Een e-mailadres is niet verplicht. Per gemeente kan in de APV worden bepaald dat aanvullende informatie nodig is. Voorbeelden daarvan zijn nationaliteit, geboortedatum en geboorteplaats.
Als men het identiteitsbewijs wil innemen, weiger dat met bijvoorbeeld de motivatie dat je het altijd bij je moet hebben voor legitimatie.
Bij het online inchecken kan een gast van tevoren zijn gegevens invullen. Let op dat je niet meer gegevens invult dan nodig. Een e-mailadres kan handig zijn voor bevestiging of het ontvangen van een factuur.


Wie mag het wel:
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

Nee, onder het strafrecht laten vallen en overtreders vervolgen.

Daar werk je toch echt met verouderde informatie. Download de PostNL app maar eens en registreer je adres. Dat registreren is alleen voor particulieren mogelijk. Dan krijg je 's ochtends al een melding met alle post die die dag bezorgd wordt. Dat is niet alleen het adres, maar een foto van de gehele voorkant. Je kunt b.v. het poststempel zien en andere details. Zelfs reclame wordt ingescand.

Alleen wordt bij veel bulkmail slecht 1 exemplaar ingescand en dan de foto geblurd zodat het adres niet leesbaar is. Dit soort DUO post valt in mijn ervaring niet onder die bulkmail en alle 1700 envelloppen zullen ingescand zijn met een leesbaar BSN.

In theorie kan het wel zijn dat de ingescande foto alleen bewaard wordt als hij bij het herkennen van het adres ziet dat dat adres de app gebruikt. Ik kan de foto's in elk geval tot 1 maand terug kijken.

En hoe controleert PostNL dat jij ook echt woonachtig bent op dat adres?

En weet je overigens wel heel zeker dat je deze applicatie wil gebruiken? https://reports.exodus-privacy.eu.org/en/reports/nl.tpp.mobile.android/latest

OK. Mij ging het om het argument dat PostNL ten behoeve van de postsortering de OCR-scanner beperkt tot het postadres, maar in de kern van jouw tegenwerping heb je gelijk: de envelop of ansicht staat op de foto.

Yup onder Trias Politica.. en we hebben de laatste tijd gezien hoe dat gaat.

BOETES INNEN EN DIRECT NAAR DE BURGER.

Ze sturen de activatiecode per 'echte brief' naar het opgegeven adres.


Ze overdrijven daar wel een beetje want de vier 'gevaarlijke' permissies kun je gewoon weigeren. 3 ervan heb ik uit staan, alleen de camera staat aan om zelf barcodes te kunnen inlezen met de app.

DUO gebruikt ook BSN mummers in de onderwerpen van mails als referentie.Hierover heb ik all meermaals een melding gedaan.

Het BSN is bedacht om de persoon uniek in de registratie te kunnen opslaan.
NAW geboortedatum kenmerk zijn allemaal persoonsgegevens en overbodig of gevoelig. Postcode huisnummer hmm ook fout. Laten we brieven versturen zonder naw postcode. ga bellen zonder telefoonnummer. De AP weet hoe dat moet.

Je hebt de onzin die daar staat zelf niet door. Een paspoort kan daartoe niet dienen wie zegt dat het wel klopt dat jij de juiste persoon bent? Dat is waar het mis gaat een BSN paspoort is niet het bewijs van de juiste persoon..

Ik reageerde op de stelling van Duo dat ze gaan uitzoeken of het wettelijjk mogelijk is brieven te sturen zonder BSN nummer. :-)

Duo maakt een domme fout door het BSN nummer bij de NAW te plaatsen.
Ze gebruiken hiervoor (blijkbaar) geen standaard sjabloon met mailmerge, maar laten dit medewerker(s) zelf bedenken en opstellen. Heel professioneel. (not)
Nadat ze constateren dat het fout gegaan is, gaan ze "onderzoeken" of ze wettelijk het BSN nummer uit hun brieven mogen verwijderen.

Delegeer het probleem naar een onderzoekscommissie.Tegen de tijd dat rapprotteert, is iedereen het incident al weer vergeten en hoef je als organisatie niets te doen.


Blijkbaar kan er geen praktische oplossing gevonden worden?

Voorkom dart medewerkers zelf de standaard elementen van een brief van Duo moeten opbouwen.
Gebruik daar een voorgedeifinieerde sjabloon voor. Die tools bestaan al decennia. Niets nieuws onder de zon.
Zorg dat in dat sjabloon de BSN placeholder ver weg van het NAW deel van de brief (het venster) gepositioneerd wordt. Bv onderaan de brief of op de achterkant.

En voer een steekproef controle uit in elke batch die je per post verstuurd.
Niet zo moeilijk.

En geen onderzoek nodig of het "wettelijk" wel mag.

Je trekt niet de juiste conclusie: DUO denkt dat het volgens de wet niet wordt toegestaan om de BSN's te verwijderen.... Ze hebben het dus wel vooraf overwogen.

Wat een onzin

Dit is helemaal geen datalek in het kader van de AVG.
Het is heel onzorgvuldig, maar een datalek.

Lees onderstaande direct uit AVG geciteerde

Artikel 2 Materieel toepassingsgebied
1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Het vermeende datalek ontstaat op papier dat naar de ontvanger moet.
Dat papier is noch geautomatiseerde verwerking nog bedoeld om in een bestand te worden opgenomen.

Het is hooguit zo dat de gegevens uit een bestand zijn gekomen (die daar overigens gerechtvaardigd en goed beschermd in zit). Bij dat geprinte papieren briefje is de AVG niet meer van kracht.

Dit is typisch een voorbeeld van scoop creep.

Maar de vraag die je stelde is of er een regel is die zegt dat je het BSN in het NAW-vak moet printen. Een BSN in de brief is echt niet meteen een BSN in het NAW-vak. Wat DUO onderzoekt is iets anders dan wat jij leek te veronderstellen

Ik kan me niet voorstellen dat ze niet met een standaardsjabloon werken, want zonder dat zou het een totaal onwerkbare chaos worden. Het lijkt me veel waarschijnlijker dat een een medewerker in de uiteindelijke brief iets wijzigde in wat dat sjabloon opleverde, en dat die gewijzigde versie met mailmerge is verwerkt.

Je hoeft het woord onderzoeken niet tussen aanhalingstekens te zetten, dat is namelijk precies wat ze moeten doen als ze die kennis niet al paraat hebben.

Onderzoek vergt geen commissie maar een bedrijfsjurist die even uitpluist hoe het zit en de uitkomst in een memo verwerkt.

Zoals al gezegd zo ik heel raar staan te kijken als ze dat niet gebruiken.
De conventie is om al dat soort gegevens in het briefhoofd te zetten, en er is een goede praktische reden voor om daar niet van af te wijken: je loopt een reëel risico dat de nodige mensen niet meer doorhebben waar het staat als het daar niet staat, iedereen verwacht die conventie.

Niet moeilijk, en typisch het soort maatregel dat ik vaak genoeg heb zien nemen als er iets fout ging, maar helaas is dit zelf zeer gevoelig voor menselijke fouten. Als het in 99,9% van de gevallen goed gaat dan verslapt de aandacht van de controleurs gegararandeerd na verloop van tijd, en als de aandacht verslapt wordt die heel enkele keer dat het misgaat heel makkelijk gemist. En dat is niet omdat die mensen geen goede medewerkers zijn, dat is omdat mensen zo in elkaar zitten dat ze scherp blijven op dingen die ze vaak genoeg mis zien gaan en niet op wat ze altijd goed zien gaan, dat wordt na verloop van tijd routinematig gedaan en niet meer aandachtig.

Het woord wettelijk hoef je ook al niet tussen aanhalingstekens te plaatsen, wat wettelijk wel of niet mag is niet bij wijze van spreken zo, het is een keiharde realiteit waar ze rekening mee moeten houden.

Ik kan, op conceptueel niveau, ook wel een technische maatregel bedenken die zou kunnen werken. Moderne opslagformaten van tekstverwerkers zijn zipbestanden met xml erin. Het moet in beginsel mogelijk zijn om als eerste stap in een mailmergeproces te controleren of de code die uit een sjabloon is overgenomen is aangepast door de opsteller van de brief. Zonder zo'n aanpassing weet je dat alleen de adresgegevens binnen het adresvenster vallen, met een aanpassing is er risico op ongelukken en weigert het mailmerge-proces de individuele brieven te produceren.

Hopelijk heeft voor professioneel gebruik bedoelde software deze mogelijkheid al kant en klaar aan boord en hoeft men alleen maar op het idee te komen het ook in te zetten. Het lijkt een open deur, want alleen al bij een streng toegepaste huisstijl is dit een nuttige functie voor organisaties, maar het zou niet voor het eerst zijn dat ik zie dat ogenschijnlijk vanzelfsprekende mogelijkheden in zeer uitgebreide corporate pakketten domweg ontbreken.

Als het ontbreekt is het onderzoek naar wat het opslagformaat aan herkenbaars oplevert om die vergelijking mee te doen, en onderzoek naar hoe je dat dan inpast in de technische workflow op een manier die niet te omzeilen is, en het vervolgens zelf implementeren ervan aanzienlijk meer werk dan uitzoeken of het BSN volgens de wet verplicht in de brief moet staan of niet. Ik snap daarom wel dat ze die optie onderzoeken.

Dank voor het compliment, maar ik ben net als iedereen ook maar een leunstoeldeskundige als het om dingen gaat waar ik toevallig niet zelf ervaring mee heb opgedaan. Ik ga er althans niet van uit dat ik immuun ben voor het Dunning-Krugereffect.

Bij de printstraat kijkt niemand mee. De gevulde dozen/zakken worden doorgegeven.
Zouden ze wel meekijken dan is er een echt privacy issue wat beoordeeld zou moeten worden.

De postsorteermachines lezen en sorteren de brieven voor de postbestellers, niemand kijkt mee.
De postbezorger heeft niet al te veel tijd. Die is blij als hij het aan huis kan afleveren. Voor hem geld al het briefgeheim.
Hij ziet de namen mensen en woningen naast alle post. Als je dat wilt inperken moet alle post verboden worden,

De hele affaire moet vanuit een ontvanger gekomen zijn. Iemand die overtuigd is dat zijn privacy geschonden is omdat hij een brief krijgt. Hoe diep wil je afzinken in complotgedachten met privacy.

Je hoeft geen aannames te doen over hoe het aan het licht kwam, het staat gewoon in het artikel van Trouw:
Dat hoeft helemaal geen complotdenker te zijn, dat kan gewoon iemand zijn die ervan op de hoogte is dat een BSN als vertrouwelijk behandeld hoort te worden en niet zichtbaar hoort te zijn in een adresvenster, en die zo netjes is om als er iets niet klopt dat even te melden. Had ik zelf kunnen doen als ik die brief had gekregen. Flauw om dat meteen te gaan framen met de onzin die jij de melder nu toeschrijft.

Het is DUO zelf dat de vervolgacties heeft genomen.