@Anoniem 16:40, ik herhaal alles behalve de eerste zin uit
https://www.rvig.nl/veelgestelde-vraag/kan-ik-een-nieuw-burgerservicenummer-bsn-krijgen:
Een BSN is een zogenaamd 'informatieloos' nummer. Dit betekent dat er geen persoonlijke informatie, bijvoorbeeld iemands geboortedatum, in het BSN verwerkt is. Een persoon is daarom niet te herkennen aan een BSN. Mensen kunnen geen identiteitsfraude plegen met een BSN.
Alleen "de overheid' komt ermee weg om burgers met zulke leugens het bos in te sturen.
a) Een BSN is helemaal niet "informatieloos", het is een uniek identificerend getal voor de meeste mensen in Nederland.
b) Een geboortedatum is nog veel "informatielozer" want
redundante foutendetecterende informatie (zoals een elf-proef) ontbreekt en als een geboortedatum als 01-02-03 wordt opgeschreven, wanneer was dat dan? (Vraag dit ook aan een Amerikaan).
c) In tegenstelling tot bij een BSN kun je een persoon niet uniek "herkennen", in de zin van uniek identificeren, op basis van een geboortedatum, want meestal worden er meerdere mensen op dezelfde dag geboren. Ook bij veel namen is dat het geval. Een BSN is dus juist informatierijker dan alle andere losse (eveneens door mensen bedachte) identificerende gegevens - zoals naam, geboortedatum en -plaats (hoewel het aantal keren dat het vóórkomt beperkt zal zijn, hoeft zelfs de combinatie daarvan niet uniek te zijn en is "geoorloofd" - terwijl een hergebruikt BSN onmiddellijk gecorrigeerd moet worden om chaos te voorkómen).
d) Mensen kunnen
wel dégelijk identiteitsfraude plegen met een BSN. Dat feit is krankzinnig, maar het is wel een feit. Anders had het BSN niet naar de achterkant van het paspoort hoeven te verhuizen en zou
diezelfde RvIG geen "kopie-ID-app" hoeven aan te bevelen die het BSN verbergt:
https://www.rvig.nl/kopieid-app.
Dat identiteitsfraude wel mogelijk is met een BSN, blijkt -zomaar een voorbeeld- uit de privacyverklaring van u-diagnostics.com die ik toevallig vandaag (
https://security.nl/posting/826875) tegenkwam. Uit die privacyverklaring [1] (de 4 items zijn door mij genummerd):
Gebruik maken van uw rechten
U kunt uw rechten slechts uitoefenen voor zover de wet u deze rechten toekent en door contact op te nemen via het bovengenoemde e-mailadres van de Functionaris Gegevensbescherming.
Om er zeker van te zijn dat het verzoek door u zelf is gedaan, passen wij een tweefactor authenticatie toe.
We gebruiken hiervoor de cliëntgegevens uit onze eigen administratie om te kunnen controleren doormiddel van:
1) E-mail: na het ontvangen van een verzoek via e-mail een bevestiging te vragen per telefoon. Het opgegeven mobiele nummer moet dan wel kloppen met de cliëntgegevens uit onze administratie.
2) Telefoon: Het per e-mail vragen om bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de cliëntgegevens uit onze administratie.
3) IBAN: via mail te vragen om de laatste drie cijfers van het rekeningnummer of geboortedatum en/of het cliëntnummer voor controle. Deze nummers moeten natuurlijk wel overeenkomnen met de gegevens uit onze administratie.
4) BSN: het telefonisch of via mail navragen van de laatste drie cijfers van het BSN. Deze nummers moeten natuurlijk wel overeenkomen met de gegevens uit onze administratie, indien toepasbaar.
Je kunt, in dit geval,
hooguit van
tweefactor-authenticatie spreken indien de kennelijke klant een verzoek indient (ongeacht op welke wijze, en ongeacht het soort verzoek: verwijderen, opvragen, corrigeren...) en het bedrijf een willekeurige code naar het e-mailadres, en een andere willekeurige code naar het telefoonnummer van de klant, zoals bekend in de administratie, stuurt - en de klant daarna opnieuw contact opneemt en beide codes correct noemt.
In de praktijk zal elke fraudeur liegen dat zij of hij ondertussen een ander telefoonnummer heeft, en wellicht ook een ander e-mailadres.
Probleem: dit overkomt ook mensen die niet frauderen, namelijk zij die zijn vergeten om dergelijke wijzigingen aan alle relevante organisaties door te geven (zie bijv.
https://arstechnica.com/tech-policy/2024/01/meta-verification-proved-useless-and-my-family-is-still-locked-out-of-instagram/). Omdat het
plausibel is dat contactgegevens veranderen, is dit in de praktijk een waardeloos authenticatiemiddel - want, zoals zo vaak, is het voorkómen van impersonatie hier het doel.
De rest, zeker punt 3 en 4, hebben helemaal niets met authenticatie te maken: het kennen van niet geheime informatie bewijst geenszins dat die informatie (jouw IBAN,
BSN, jouw geboortedatum en zelfs jouw cliëntnummer) van "
jou" zijn.
Wat er in de praktijk gaat gebeuren, indien het BSN van de kennelijke klant in de administratie is opgenomen, is dat het bedrijf (via de telefoon of via e-mail) vraagt: "hoe luiden de laatste drie cijfers van uw BSN". Als een fraudeur met een gespoofed telefoonnummer belt, of met een iets afwijkend e-mailadres mailt, volstaat het kennen van de laatste 3 cijfers van jouw BSN om jou schade te berokkenen. Dat noem ik 0FA (nul-factor-authenticatie).
Om van authenticatie met een minimale betrouwbaarheid te mogen spreken heb je een minimale zekerheid nodig dat je met een specifieke persoon te maken hebt, die je met een minimale betrouwbaarheid hebt geïdentificeerd. Hoe meer een fraudeur kan verdienen of anderszins voordeel kan behalen met impersonatie (zoals het verzamelen van aanvullende gegevens door deze op te vragen), hoe groter de kans op "identiteitsfraude" (de woorden "authenticatiefraude" of "identiteitsbewijsfraude" waren hier wellicht beter op z'n plaats geweest).
Kortom: de RvIG liegt én spreekt zichzelf tegen.
Ofwel de overheid moet streng optreden tegen elke partij die het BSN (of andere, niet geheime, informatie) misbruikt als authentiecatiemiddel, met als consequentie dat het BSN niet geheimgehouden en/of afgeschermd op je kopietje-paspoort hoeft te worden,
ofwel het BSN wordt, net als een wachtwoord, een strikt bewaard geheim tussen jou en één centrale overheidsinstantie.
Maar voor die laatste optie is een BSN sowieso veel te kort, want als die centrale overheid daar een cryptografische hash van opslaat, is dat veel te eenvoudig te
reversen (een wachtwoord plain text opslaan is natuurlijk helemaal taboe als MD5 al niet goed genoeg is, zie [2]).
Bovendien was het BSN juist ontworpen om als kort, eenvoudig uitwisselbaar, identificatienummer (ooit als SOFI-nummer) te worden ingezet. De wellicht belangrijkste reden om mensen geen nieuw BSN te geven noemt het RvIG niet: dat is dat een BSN uit exact 9 cijfers bestaat en, mede door de foutdetectiecode, binnenkort opraakt.
Overigens is de reden dat een beperkt aantal partijen het BSN mag verwerken
niet het geheimhoudingsargument, maar het grotere risico op privacy-inbreuken als databases van allerlei partijen foutloos gekoppeld zouden kunnen worden; enige ruis in uw persoonsgegevens is goed voor uw privacy.
[1]
https://static1.squarespace.com/static/6123641cd3e54c0b8e775b7e/t/62349aa3dbe0cb552291840f/1647614627388/Privacyverklaring+UD-Lab+v0.5.pdf[2]
https://security.nl/posting/796600/#_380.000_boete_voor_HTTP,_MD5_en_trackingcookies