Organisaties die zeggen zij anonieme gegevens verwerken

Door Erik van Straten: Hashen van getallen (of een reeks bytes), met als doel het origineel te verhullen, is zinloos als de reeks, voor computers, zo beperkt is van grootte dat je door alle mogelijke combinaties te hashen binnen afzienbare tijd kunt achterhalen wat het oorspronkelijke getal (of de reeks bytes) geweest moet zijn. ...

.. Een manier om gegevens te anonimiseren is het gebruik van k-anonimity. Hierbij wordt een dataset zo veranderd dat iedere combinatie van attributen altijd minstens k keer voorkomt. "Onder de juiste omstandigheden en als k groot genoeg is, is het herleiden van personen dan onmogelijk. ..

Door Anoniem: Als je een login database hebt, valt k-anonimity niet direct toe te passen, behalve door verschillende velden onbruikbaar te maken voor de database users (login/profiel als 2 aparte users, overige users als k-anonimity).

Door Anoniem: Het hashen van een e-mail adres is voor login databases niet effectief, dan kan je nooit een password reset laten uitvoeren zodra de database gecompromiteerd is (db global e-mail naar alle users).

Door karma4: Dat reversed hashen achterhalen werkt alleen als je de betreffende gegevens op een andere manier al weet.

Door Erik van Straten: Fout. Val jij even door de mand...

Door karma4: Wonderlijk aangezien de AP tot nu toe beweerde dat elk niveau van k-anonimity niet zou kunnen bestaan.
Ze verwezen naar een chinees onderzoek die met een steekproef uit bekende tracks de zelf gegroepeerde track weer terug lon krijgen met de aanwezigheid van die bron gegevens.

Pseudonimiseren is in de GDPR als een maatregel genoemd met daarbij de inperking dat de GDPR niet voor geanonimiseerde (k-anonimity) geld.

De AP heeft dat geheel eigengereid als een big brother uitgebreid alsof geanimiseerd niet mogelijk zou zijn. Met het benoemen van gepseudopnimiseerde data als zijnde geanonimiseerd is de AP in overtreding met de wettekst van de GDPR.

Door Erik van Straten: Fout. Val jij even door de mand...

Door Erik van Straten: Fout. Val jij even door de mand...

Door Erik van Straten: Fout. Val jij even door de mand...

Door Erik van Straten: Fout. Val jij even door de mand...

Door Anoniem:
Er staat in de AVG dat pseudonimiseren risico's kan verkleinen, dat het andere maatregelen niet uitsluit, en ook dat als gepseudonimiseerde gegevens die met behulp van andere gegevens aan natuurlijke personen kunnen worden gekoppeld als gegevens over een identificeerbare persoon moeten worden beschouwd (overweging 26).

Dat klopt niet. Jij doet het steeds voorkomen alsof een verwerkingsverantwoordelijke goed zit als er maar een pseudoniem wordt ingezet. AP gebruikt als criterium de vraag of de identiteit van de betrokkene te achterhalen is. Overweging 26 gaat daarover. ..

Door Anoniem: Theoretisch kan je steeds een "input" vinden die bij een bepaalde hash output hoort, maar dan ben je nog niet zeker dat het de originele input was. Alle hash functies hebben namelijk collisions, omdat je een onbeperke input-space op een gelimiteerde output-space mapt
Collision-resistance is een belangrijke eigenschap als je hash-functies gebruikt voor security doeleinden.

Door Anoniem:
Op het moment dat jij een collision vindt, in bijvoorbeeld SHA-256, die dezelfde hash oplevert als de reversed hashes van karma4, dan hebben alle certificate authorities in de wereld een hele slechte dag. Dan moeten ze namelijk alle certificaten, met SHA-256, gaan vervangen omdat het hash algoritme gebroken is.

Dit is gebeurd met MD5 en met SHA-1.

Door Anoniem:
Op het moment dat jij een collision vindt, in bijvoorbeeld SHA-256, die dezelfde hash oplevert als de reversed hashes van karma4, dan hebben alle certificate authorities in de wereld een hele slechte dag. Dan moeten ze namelijk alle certificaten, met SHA-256, gaan vervangen omdat het hash algoritme gebroken is.

Dit is gebeurd met MD5 en met SHA-1.

Door Anoniem: ...karma4 kan ook end-to-end encryptie kraken, want de sleutels staat centraal op de servers van de end-to-end encryptie. ..

Door Erik van Straten: Hashen van getallen (of een reeks bytes), met als doel het origineel te verhullen, is zinloos als de reeks, voor computers
Computers zijn zo snel dat het hashen van bijv. telefoonnummers, ethernet-adressen, IP-adressen, pincodes, korte wachtwoorden, BSN's en (in de meeste gevallen) e-mailadressen geen enkel beveiligingsvoordeel oplevert. En natuurlijk ook niet het hashen van ingekorte exemplaren daarvan.

Door botbot:
Sure, maar je vergeet wel dat je dan moet weten wat er gehashed is.

"f7367a2ddeabefd06b2c00d59d1f7e83c1f1b9fb81dd14c847d8be247baf32f0"

Vertel mij maar wat het orgineel was van deze SHA256 string. Is zo te doen toch?

Ik zal je in de goede richting helpen: Het is een emailadres,

Of een IP adres, of een ethernet adres, of een IBAN-nummer, of een creditcardnummer, of een User-Agent-string, of een kort wachtwoord....

Maar het kan ook een combinatie van bovenstaande zijn.

Door Anoniem 30-04-2021, 15:18:
karma4 heeft wel een punt Erik. Je moet van te voren al weten dat de input een reeks bytes was van 0 tot oneindig tekens. En het is ook handig om te weten welke hash functie er is gebruikt (als je ze niet allemaal wilt proberen).

Door Anoniem 30-04-2021, 15:18: karma4 houdt zijn hash en encryptie algoritmes natuurlijk geheim. Zo heeft de aanvaller minder kans om bij zijn data te komen.

Door Anoniem 30-04-2021, 1529: Nou hij heeft wel gelijk dat je moet weten wat voor soort gegevens het zijn ...

Door Anoniem 30-04-2021, 1529: ... en hoe ze geformatteerd zijn.

Door Anoniem 30-04-2021, 1529: En je moet ook het hashing- en knip algorithme weten.

Door Anoniem 30-04-2021, 16:04: Een van de eigenschappen van een hash functie is dat je niet van terug kan "rekenen".

Door Anoniem 30-04-2021, 16:04: Dus het is heel makkelijk om de Hash-waarde van "A", te berekenen, maar je kan niet vanuit hash-waarde terug "A" vinden.

Door Anoniem 30-04-2021, 16:04: Wat wel kan, is "A" proberen te zoeken als je andere informatie hebt over A.
Als je bijvoorbeeld weet dat "A" een 4-cijferige pincode is, dan kan je makkelijk de hash-waarde van alle 10.000 combinaties berekenen en opzoeken wat de originele pincode was. (Dergelijke data noemt men een rainbow table.)

Door Anoniem 30-04-2021, 16:04: Theoretisch kan je steeds een "input" vinden die bij een bepaalde hash output hoort, maar dan ben je nog niet zeker dat het de originele input was. Alle hash functies hebben namelijk collisions, omdat je een onbeperke input-space op een gelimiteerde output-space mapt

Door Anoniem "Q" 30-04-2021, 16:08: Erik, kan je uitleggen waarom dat fout is?

The flaws originate from the exchange of hash values of such contact identifiers during the discovery process, which can be easily reversed using brute-force or dictionary attacks

Een andere oplossing die wordt onderzocht voor gevallen waarin het BSN niet mag worden gebruikt is die van de zogenaamde decentralized identifier (DID). Daarmee kan een burger een uniek, van zijn of haar BSN afgeleid, nummer afgeven aan een organisatie, die dat nummer kan verifiëren zonder dat daarvoor het BSN zelf hoeft te worden gedeeld.

Door Anoniem "Q" 30-04-2021, 16:08: Als ik een 32-bit hash (ik weet het, erg kort) heb van een email adres, zeg erik@gmail.com, en ik knip daar 16 bit van af ...

De juiste vraag is daarom niet hoeveel je moet afknippen, maar hoeveel je kunt bewaren.

Want wat is dan het gevolg van te weinig symbolen van gehashte attributen afknippen? Dat is een dataset die nog steeds persoonsgegevens bevat.

Want te weinig afknippen van hashwaardes laat unieke identificatoren achter. En dan is er dus géén sprake van geanonimiseerde gegevens.

Door Anoniem "Q" 30-04-2021, 16:08: - of de afgeknipte hash met alle mogelijke cijfercombinaties moeten aanvullen tot 32-bit, en voor al die combinaties een "reverse hash" berekening moeten doen (bij langere hashes erg CPU-intensief)

Door Erik van Straten: Hashen van getallen (of een reeks bytes), met als doel het origineel te verhullen, is zinloos als de reeks, voor computers, zo beperkt is van grootte dat je door alle mogelijke combinaties te hashen binnen afzienbare tijd kunt achterhalen wat het oorspronkelijke getal (of de reeks bytes) geweest moet zijn.

Computers zijn zo snel dat het hashen van bijv. telefoonnummers, ethernet-adressen, IP-adressen, pincodes, korte wachtwoorden, BSN's en (in de meeste gevallen) e-mailadressen geen enkel beveiligingsvoordeel oplevert. En natuurlijk ook niet het hashen van ingekorte exemplaren daarvan.

Door Anoniem: Met MD5 kon met collisions genereren in bv. PDF documenten, door in metadata van de pdf te manipuleren door er "willekeurige" data in te zetten zodat het gehele bestand weer dezelfde hash op leverde. Dat is wat anders dan metadata in een certificate aan te passen: er zijn niet zo veel velden die je onbeperkt kan aanpassen zonder dat het certificate ongeldig wordt. (nou ja, adres, organisatie, hele vreemde waarden in SAN) wanter zijn restricties opdat de velden nog een betekenis hebben. Je kan bv. niet een willekeurige validity start en einddatum kiezen, want er zitten format eisen aan de datum.
Dus zelfs met MD5 en SHA-1 is het eigenlijk niet mogelijk, maar men heeft het zekere voor het onzekere genomen.

Door Anoniem: Het probleem is dat de veiligheid niet mag afhangen van de geheimhouding van het algoritme(keuze hasfunctie, format inputdata, afknipwijze, etc.) Immers als dat uitlekt (en dat zal vroeg of laat een keer gebeuren) is meteen alle data gecompromitteerd. Dus vermijd dit soort "security by obscurity".

Door Erik van Straten:
De aanval van karma4 op mijn bijdrage suggereert dat hij/zij geen rekening houdt met brute force attacks. In 2017 leek karma4 ook al te suggereren dat het hashen van een BSN zin zou hebben: ..

De e-mail adressen die de aanvaller zo achterhaalt zullen ongetwijfeld niet allemaal van de personen in jouw database zijn, maar dat interesseert spammers/phishers bar weinig. En: als zij zo maar één e-mail adres uit jouw database recoveren, heb je een datalek.

Door karma4: Goed opletten, ik zeg en herhaal dat het geheim moeten houden van een BSN totaal onzinnig en onwettelijk is.

Door karma4: Het is de AP die er een verhaal van probeert te maken dat als je het niet geheim houdt dat dat identiteitsdiefstal verwijtbaar zou zijn. Ze zouden de wet moet volgen en de deugdelijke controle van de juiste persoon moeten meenemen in de handhaving. Dat betekent dat een verwerkingsverantwoordelijke een registratie van die bewijsvoering moet hebben.

Door karma4: Het niet kunnen uitwisselen van een BSN waar dat nodig is veroorzaakt persoonsverwisselingen, dat zijn privacyinbreuken.

Door karma4: Waarmee je enkel aantoont hoe doorgeslagen het anoniem moeten zijn onder alle condities is.

Door karma4: Het is superdom om goede algemene encrypties te gebruiken en vervolgens de sleutels en reverse rainbow opties open en bloot te publiceren.

Door Anoniem: Je gebruikt bijvoorbeeld de eerste - of laatste - 5 tekens van de hash. IMHO is dat echt niet terug te berekenen.

SHA1("P@ssw0rd") = 21BD12DC183F740EE76F27B78EB39C8AD972A757

Door Erik van Straten: Tegen beter weten in toch een reactie.

Daar ging dat niet over en dat is niet het probleem. Als ik dat wil kan ik een programma schrijven dat in no time alle mogelijke BSN's uitrekent (bijna 91 miljoen, ze moeten voldoen aan de 11-proef:

Maar daar heeft niemand iets aan. Er ontstaan pas privacy-risico's indien 1) malloten denken dat, na identificatie met naam (en evt. aanvullende gegevens) het kennen van een BSN een betrouwbaar authenticatiemiddel is en/of 2) een BSN, gecombineerd met vertrouwelijke informatie van het individu, in verkeerde handen valt en wordt misbruikt.

[i
1) Het is niet de AP maar onze wetgever die, volkomen hersenloos, heeft bepaald dat overheden, zorgmedewerkers, ... (elke partij die BSN's mag verwerken) iemand betrouwbaar zouden kunnen authenticeren door naar diens BSN te vragen (en al dan niet te checken of het verstrekte nummer van een bestaand persoon is)

2) Ik heb nog nooit gehoord of gelezen dat dit een groot probleem zou zijn bij relaties tussen organisaties en individuen. Dat organisaties klantnummers o.i.d. aan individuen toekennen is geen probleem.

... Criminelen smullen ook van dit idee; hoe meer je van iemand weet, hoe makelijker je iemand kunt beroven en/of diens identiteit kunt overnemen. ...

..Enkele van mijn e-mail aliases zijn gelekt. Daar krijg ik nu spam op (vandaag 5 stuks "hackers hebben toegang tot je apparaat" blabla gefilmd toen ik masturberend een pornosite bezocht, 1250 Euro aan BTC betalen blablabla) ...

Trouwens, waarom post jij hier onder een pseudoniem? Wat is jouw BSN? En hoe luidt jouw e-mailadres? Telefoonnummer? Geboortedatum en plaats? Woonadres? Werk je en zo ja waar? Welke medische aandoeningen heb je gehad? Covid-19? Ben je dezelfde karma4 als op Tweakers? ...[

.. De groeiende databerg gaat nog tot zeer veel tranen leiden voor we wijzer worden.

Door karma4: In de wet gebruik BSN staat de eis dat voordat de verwerker er mee aan de slag gaat er een een gedegen controle moet zijn of het de juiste persoon is. Van start gaan omdat met een opgegeven BSN iets in de administratie werkt is onwettelijk.

Dat het zo gebruikt wordt is onwettelijk. Dat de AP daarin meegaat is gewoon fout. (Zie heriboven). =punt=

Door Anoniem: Ik zal niet de hele post van karma4 quoten (11:15), maar zal het samenvatten met:
1) Het is oké als karma4 de BSN van iedereen in het forum heeft, want dat is zijn 'werkveld'
2) Het is niet oké als iemand in het forum de BSN van karma4 heeft, want die mogen dat niet verwerken van de wet
De Britten noemen dat: "Do as we say, don't do as we do"

Door Anoniem:
Die wet heeft het niet over een verwerker maar over een gebruiker. hij betreft alleen degenen die wettelijk verplicht zijn een BSN te verwerken.

Bij identiteitsfraude waar BSNs bij worden gebruikt ben ik beschrijvingen tegengekomen van criminelen die een woning hebben gehuurd op naam van een ander. De verhuurder stapt met onbetaalde rekeningen op een gegeven moment naar een incassobureau en die gaat het BSN gebruiken als "bewijs" dat het slachtoffer van de identiteitsfraude de huurder was. Bij woninghuur moet het BSN worden geregistreerd, de verhuurder heeft duidelijk de controle niet goed gedaan, en degene wiens BSN is misbruikt krijgt een shitload ellende over zich heen.

Een verhuurder heeft, als ik het goed heb, geen recht om een kopie van een identiteitsbewijs te maken. Dat moet dus op het oog worden gecontroleerd. Achteraf is op geen enkele manier meer na te gaan of die controle wel of niet goed is gedaan, naar een identiteitsbewijs kijken laat geen sporen achter die je achteraf kan controleren. ..

AP kan moeilijk anders dan erkennen dat de werkelijkheid zoals hij nu is domweg niet waterdicht is. Als iemand claimt slachtoffer te zijn van identeitsdiefstal zijn er (in ieder geval) twee mogelijkheden:
• de persoon liegt dat het identiteitsfraude was en is zelf aan het frauderen;
• de persoon is inderdaad slachtoffer, wat impliceert dat het identiteitsbewijs niet of niet goed is gecontroleerd
...

at de AP doet is erkennen dat het systeem niet waterdicht is, dat het dus mogelijk is dat mensen op deze manier slachtoffer worden van identiteitsfraude. Zo lang als dat mogelijk is is het verstandig voor iedereen om zelf voorzorgen te nemen om het risico erop zo klein mogelijk te maken. ..

Door karma4: Je hebt nog steeds niet. Wat is de kern van de zaak.
- We moeten niet panisch doen over het geheim moeten houden van een BSN
Hij is bedoeld om persoonsverwisselingen te voorkomen.
- Het is geheel fout en onwettelijk om enkel dat ding als bewijs van de juiste persoon te willen zien.
Dat de AP met die foute en onwettelijke insteek meegaat is niet goed.

Door karma4: Oplossing bewaar een scan met alle gegevens als foto met een andere kenmerkend iets.

Hier kan je ophouden, zorg dat het dan wel mogelijk wordt en dat het bewijs deugdelijk bewaard kan worden.

De AP steekt er omgekeerd in, ze maken elek bewijsvoering onmogelijk.

Dan moeten ze niet de controles en bewijzen onmogelijk maken en die als niet terechte verwerkingen aanmerken.
Laat ze maar eens met oplossingen komen. Een scan en tegelijkertijd een foto met datum tijd zou mogelijkheden bieden. Dan moet je niet eerst gaan emmeren dat alle scans bij voorbaat verboden zijn.

Door Anoniem: [...]
Een verhuurder heeft, als ik het goed heb, geen recht om een kopie van een identiteitsbewijs te maken. Dat moet dus op het oog worden gecontroleerd. Achteraf is op geen enkele manier meer na te gaan of die controle wel of niet goed is gedaan, naar een identiteitsbewijs kijken laat geen sporen achter die je achteraf kan controleren. Dus als het op een conflict aankomt is zo'n controle niet meer of minder dan het woord van de een tegenover het woord van de ander.
[...]

Door Anoniem: De verhuurder moet er naar vragen, en jij mag daar een veilige kopie van geven. Dat kan iedereen zelf met bv. de KopieID app, waarbij je én BSN en bv. foto doorkrast, én er een watermark overheen zet dat dit alleen voor het huren van (kamer X op) adres Y op datum Z is. Die mag je sturen, want zo'n kopie is niet bruikbaar op een andere plek.

En voor diegenen die geen app willen installeren: zelf een kopie maken en de betreffende delen zwart maken en er met pen de tekst van het watermark overheen schrijven. Dat nogmaals kopieren en de kopie inleveren (want dan is het doorgestreepte deel ook niet meer terug te halen).

Dus waar een wil is is een weg!

Door Erik van Straten: Laat ik beginnen met niet-afgeknipte hashes (want daar had ik het over - niet dat dit veel uitmaakt, zie verderop).

Uit https://www.usenix.org/system/files/sec21fall-heinrich.pdf:

De aanval van karma4 op mijn bijdrage suggereert dat hij/zij geen rekening houdt met brute force attacks. In 2017 leek karma4 ook al te suggereren dat het hashen van een BSN zin zou hebben: https://www.security.nl/posting/516418/Zorgverzekeraar+laat+klanten+via+bank+op+account+inloggen#posting516508.

Ik heb (nog) niet kunnen vinden wat de overheid precies van plan is in het wetsvoorstel "Wet Digitale Overheid". Uit https://www.tweedekamer.nl/downloads/document?id=79033b47-c73c-4d9c-94d7-e872870da7a6&title=Beleidsontwikkelingen%20rondom%20het%20Burgerservicenummer%20%28BSN%29.pdf (bron: https://www.security.nl/posting/682986/Kabinet+werkt+aan+breder+gebruik+van+BSN+buiten+de+overheid):

Als een organisatie X, zonder derde partij, van een burger diens BSN krijgt maar niet op mag slaan, zou je kunnen denken dat een hash van dat BSN opslaan wel mag: nee dus. Zelfs als je hasht met een salt (niet geheimer dan de hash) moet je ervan uitgaan dat aanvallers (incl. insiders) voldoende gegevens hebben om te kunnen reversen. Bij hashen met pepper (https://en.wikipedia.org/wiki/Pepper_(cryptography)) is dat het geval als de aanvallers die pepper-waarde te weten komen. Dit geldt, voor zover ik overzie, ook voor versleuteling: als een aanvaller de output, het gebruikte algoritme en alle gebruikte secrets kent, weet dat het om geldige BSN's gaat en de encoding kent, kan zij/hij zo'n BSN achterhalen middels brute force.

In een oudere "Memorie van Toelichting" van het "Wetsvoorstel GDI" (de Wet Generieke Digitale Infrastructuur is later veranderd in Wet Digitale Overheid) https://www.internetconsultatie.nl/wetgdi/document/2670 (PDF, bron: https://www.internetconsultatie.nl/wetgdi/details) vond ik aanwijzingen dat er sprake zou zijn van een "koppelregister" genaamd BSN-K, kennelijk de derde partij (de overheid en/of private authenticatiediensverlener) in wat ik hierboven schreef. Als zo'n derde partij er secrets op nahoudt die de doelorganisatie niet kent, kan deze in principe wel met veilige afgeleiden van BSN's werken (mits die derde partij niet gehacked wordt).

Dan hou je 65536 mogelijke combinaties over en heb je al snel een soort k-anonimity. Belangrijker, uit de AP-pagina waar de redactie naar verwijst (https://autoriteitpersoonsgegevens.nl/nl/nieuws/techblogpost-praktische-problemen-bij-het-afknippen-van-hashes):
Het gaat dus niet om hoeveel je eraf knipt, maar hoeveel je bewaart: in jouw geval ook 16 bits. Dat is erg weinig. Waar de AP op doelt zijn mensen die bijv. de helft van een 128-bit hash eraf knippen: het probleen is dan dat de resterende 64bits ook in nagenoeg alle gevallen uniek "addresseren".

Maar soit, laten we van jouw resterende 16 bits uitgaan - maar dan wel met enige voorkennis (hiermee ben ik niet meer karma4's stelling aan het ontkrachten), namelijk een aantal bekende e-mail providers (gmail.com, hotmail.com, ...) kiezen. Dan zou ik user-ID's kunnen brute-forcen (of sneller, een tabel met veelgebruikte e-mail user-id's inzetten). Met brute force dus a@example.com, b@example.com, ... aa@example.com etc. (vervang example.com door elke gewenste mail provider). Ik ga ervan uit dat de aanvaller weet welke encoding en welk hash-algoritme gebruikt worden, en welke 2 bytes van de hash bewaard worden. De aanvaller bepaalt dus bijv. MD5("a@example.com") etc. en vergelijkt de gewenste 2 bytes met de 2 bytes uit elk record van de gestolen database (zelfs als de aanvaller niet zou weten om welke 2 bytes uit de hash het gaat, kan hij deze met een statistische analyse waarschijnlijk achterhalen: welke 2 bytes leveren de meeste hits op?).

De e-mail adressen die de aanvaller zo achterhaalt zullen ongetwijfeld niet allemaal van de personen in jouw database zijn, maar dat interesseert spammers/phishers bar weinig. En: als zij zo maar één e-mail adres uit jouw database recoveren, heb je een datalek.

De meeste cryptografische hashes zijn zo ontworpen dat CPU's ze snel kunnen uitvoeren. Verstandige ontwerpers van webapplicaties weten dat serverbeheerders niet van rokende CPU's houden, dus zullen zij geen Argon2 inzetten waar SHA-2 het ook doet.

Resumerend: aanvallers hebben bijna altijd veel meer informatie dan brave mensen (willen) bedenken. Kijk "How I met your girlfriend" van Samy Kamkar eens uit (o.a. https://youtube.com/watch?v=fWk_rMQiDGc) om te begrijpen wat ik bedoel. En zonder aannames en/of voorkennis werkt brute force vaak ook.

Door Anoniem: [identiteitsbewijs]
De verhuurder moet er naar vragen, en jij mag daar een veilige kopie van geven. Dat kan iedereen zelf met bv. de KopieID app, waarbij je én BSN en bv. foto doorkrast, én er een watermark overheen zet dat dit alleen voor het huren van (kamer X op) adres Y op datum Z is. Die mag je sturen, want zo'n kopie is niet bruikbaar op een andere plek.

Door Erik van Straten: Het zijn maar pixels. Iedereen die een beetje handig is met Paint, the Gimp of Photoshop kan zo'n watermerk verwijderen.

Het probleem is dat het resultaat in veel te veel gevallen volstaat om online mee te authenticeren.

Door Anoniem: Mijn tweede stuk in die post heeft meer betrekking op je statement "Het gaat dus niet om hoeveel je eraf knipt, maar hoeveel je bewaart": Als je te weinig weggooit (en dus te veel bewaard) is de resterende hash nog steeds zo uniek dat het misschien niet 1-op-1 terug te brute-forcen is, maar wel gebruikt kan worden om de persoon te herleiden.

Door Anoniem: Klopt, maar dat was ook niet mijn stelling: je kan je authenticeren met je echte ID, en de verhuurder mag als "bewijs" dat hij het ID gezien heeft een "veilige" kopie (zonder foto, zonder BSN) achterhouden. Daarmee kan hij aannemelijk (!) maken dat hij het ID gezien heeft (uit de oorspronkelijke post: " Achteraf is op geen enkele manier meer na te gaan of die controle wel of niet goed is gedaan, naar een identiteitsbewijs kijken laat geen sporen achter die je achteraf kan controleren.").

En omdat het documentnummer gewoon op de kopie mag blijven staan kan bij een strafrechtelijk onderzoek altijd achterhaald worden of het geen fake kopie is.

En dat organisaties accoord gaan met een niet gewaarmerkte kopie, tja die moet je aansprakelijk stellen voor de geleden schade, want dan heeft die organisatie nooit het echte ID gezien, dus hebben ze niet aan de onderzoekplicht voldaan.

Door Anoniem: Klopt, maar dat was ook niet mijn stelling: je kan je authenticeren met je echte ID, en de verhuurder mag als "bewijs" dat hij het ID gezien heeft een "veilige" kopie (zonder foto, zonder BSN) achterhouden. Daarmee kan hij aannemelijk (!) maken dat hij het ID gezien heeft (uit de oorspronkelijke post: " Achteraf is op geen enkele manier meer na te gaan of die controle wel of niet goed is gedaan, naar een identiteitsbewijs kijken laat geen sporen achter die je achteraf kan controleren.").
En omdat het documentnummer gewoon op de kopie mag blijven staan kan bij een strafrechtelijk onderzoek altijd achterhaald worden of het geen fake kopie is.

En dat organisaties accoord gaan met een niet gewaarmerkte kopie, tja die moet je aansprakelijk stellen voor de geleden schade, want dan heeft die organisatie nooit het echte ID gezien, dus hebben ze niet aan de onderzoekplicht voldaan.

Een kopie van uw medisch dossier opvragen
Wilt u een kopie van uw medische gegevens opvragen? Print dan onderstaand formulier uit en stuur deze ingevuld en ondertekend samen met een kopie van een geldig identiteitsbewijs naar ons op.

Door Anoniem:[...]
De KopieID-app maakt helemaal geen gewaarmerkte kopie, die maakt een bewerkte kopie. Daarmee is het lastiger om te frauderen, maar beslist niet onmogelijk. Kennelijk ben jij een van de mensen die zwaar onderschat hoe makkelijk het is voor iemand die vaardig is met grafische software als Photoshop, Gimp etc. om het documentnummer en andere onderdelen uit de ene scan te monteren in een andere scan.

Zonder een waarmerk dat bewijst dat een kopie voor een specifiek doel van een specifieke id-kaart is gemaakt, ben je gewoon weer terug bij af: het is het woord van de ene partij tegen het woord van de andere. Met het risico dat het woord van degene die de waarheid spreekt uiteindelijk niet wordt geloofd.

Wat het verder compliceert is dat tegenwoordig de benadeelde organisatie vaak genoeg niet zelf achter de schulden aangaat maar dat er incassobedrijven zijn die schulden overnemen en die heel agressief gaan innen. Die zijn alleen geïnteresseerd in het loskrijgen van het geld, niet in de vraag of ze wel de juiste persoon ermee lastigvallen. Langs die weg kan identiteitsfraude erg veel ellende opleveren.

Door Erik van Straten: [...]

1) Als je een watermerk kunt verwijderen, is het toevoegen van een ander watermerk een peuleschil;
2) Ik zie niet in hoe het bezitten van een kopie of scan van een identiteitsbewijs "aannemelijk" maakt dat de bezitter daarvan de "eigenaar" in levenden lijve heeft gezien, noch dat diens gezicht nauwgezet is vergeleken met de pasfoto op het originele identiteitsbewijs, noch dat de echtheidskenmerken van dat identiteitsbewijs zijn gecheckt, noch dat het originele identiteitsbewijs op sporen van manipulatie is onderzocht (zoals een vervangen pasfoto).

Door Anoniem: Ik bedoel met een "gewaarmerkte kopie" een kopie waarbij bv. een Notaris heeft aangegeven dat dit een gewaarmerkte kopie is, door handtekening en stempel oid. Niet het bit/pixelpatroon

Door Anoniem: Ah, op die manier.

Ik ben bang dat notarissen het erg druk gaan krijgen als dat voor elk kopietje van een id-kaart moet gebeuren, en dat het veel te duur wordt voor de meeste mensen.

En dan zijn er nog notarissen die hun diensten online aanbieden en doodleuk vragen om een scan van je identiteitsbewijs per e-mail aan ze op te sturen, zonder zelfs maar een mogelijkheid om een upload via hun website (https) te doen. Het zijn vast wel goede juristen, maar op de een of andere manier bekruipt mij bij dit soort dingen het gevoel dat dit niet de beroepsgroep is waar je technisch al te vooruitstrevende dingen van moet verwachten.