image

AP: pakketpunten mogen QR-code op id-kaart en paspoort niet scannen

zondag 12 mei 2024, 11:23 door Redactie, 45 reacties

Pakketpunten mogen bij de identificatie van personen die een pakket komen ophalen niet de QR-code op identiteitskaart of paspoort scannen, zo stelt de Autoriteit Persoonsgegevens (AP). "Omdat de QR-code op paspoorten (afgifte op of na 30 augustus 2021) en identiteitskaarten (afgifte op of na 2 augustus 2021) het BSN bevat, mogen organisaties de QR-code niet zomaar uitlezen", zo laat de privacytoezichthouder tegenover MAX Meldpunt weten.

De AP meldt dit ook op de eigen website, waar het verder stelt dat organisaties het BSN alleen mogen verwerken als dat in de wet staat en alleen voor doelen die in de wet staan beschreven. Het gaat dan bijvoorbeeld om zorgaanbieders, onderwijsinstellingen, pensioenfondsen, financiële instellingen of werkgevers bij het verstrekken van salarisinformatie aan de Belastingdienst.

"Het ophalen van pakketjes staat niet in de wet genoemd als situatie waarbij organisaties het BSN mogen verwerken. In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit. Volgens MAX Meldpunt moeten mensen bij het ophalen van pakketten zich ook op andere manieren kunnen identificeren.

Reacties (45)
12-05-2024, 11:35 door Anoniem
Goh. Toen ik dat tegen de baliemedewerker vertelde vond-ie MIJ gek. Ik ben natuurlijk de wappie!
12-05-2024, 11:54 door Anoniem
De naam, vervaldatum, afgiftedatum en het documentnummer volstaan.
BSN nummer nooit afgeven.
Foto en leeftijd is niet nodig.
Plak er gewoon een paar stickertjes overheen voordat men zijn/haar pakket komt ophalen.
12-05-2024, 12:00 door Anoniem
Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?

Ik vraag me ook af en toe wel eens af waar ze hiernaast mee bezig zijn.

Maar er zijn grenzen.
12-05-2024, 12:10 door Anoniem
Wat lost de QR-code met je BSN nummer ook al weer op?
Veroorzaakt het verder nog nieuwe problemen?
12-05-2024, 12:38 door Anoniem
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?

Ik vraag me ook af en toe wel eens af waar ze hiernaast mee bezig zijn.

Maar er zijn grenzen.
Een kassabon is wel erg makkelijk te vervalsen.
12-05-2024, 14:04 door Anoniem
Wel raar dat in een land zoals Nederland je bij anderen zoveel schade bij onschuldige mensen kunt aanrichten met alleen een BSN-nummer, eigenlijk zouden bedrijven verplicht moeten worden om boven bepaalde bedragen andere persoonsinformatie te eisen om fraude te voorkomen.
Het hoeft niet eens je eigen schuld te zijn; mijn woningbouwvereniging en ISP hebben eerder beide mijn persoonsgegevens gelekt, gelukkig had ik alles bewerkt alvorens een kopie van mijn ID op te sturen, anders stond ik nu met mijn gezicht en BSN op het darkweb...
Dit kan zo toch niet langer?
Politiek, doe hier wat aan AUB, het kan ook u gebeuren.
12-05-2024, 16:14 door Anoniem
Door Anoniem: Wel raar dat in een land zoals Nederland je bij anderen zoveel schade bij onschuldige mensen kunt aanrichten met alleen een BSN-nummer, eigenlijk zouden bedrijven verplicht moeten worden om boven bepaalde bedragen andere persoonsinformatie te eisen om fraude te voorkomen.
Het hoeft niet eens je eigen schuld te zijn; mijn woningbouwvereniging en ISP hebben eerder beide mijn persoonsgegevens gelekt, gelukkig had ik alles bewerkt alvorens een kopie van mijn ID op te sturen, anders stond ik nu met mijn gezicht en BSN op het darkweb...
Dit kan zo toch niet langer?
Politiek, doe hier wat aan AUB, het kan ook u gebeuren.

De controle zelf is het probleem nog niet eens. Simpel fysiek de pas met het hoofd vergelijken, zou voldoende kunnen zijn.
Maar de registratie van al die gegevens (of een foto ervan maken). Dat is een probleem.
Die data kan dan namelijk lekken of misbruikt worden. Wat ook gebeurt.

Een reisdocument is dan ook niet geschikt om als identificatie-bewijs te dienen. Dat blijkt keer op keer op keer.
Er staan teveel details op, die bij een identificatie/controle niet nodig zijn.

De enige "oplossing" waar de overheid vervolgens mee komt is om delen af te plakken/onleesbaar te maken.
Maar als er om het origineel gevraagd wordt, heb je als burger/klant weinig keuzes.
Want je krijgt weinig bescherming van diezelfde overheid die het probleem zelf veroorzaakt.
12-05-2024, 17:48 door Anoniem
Door Anoniem: Wel raar dat in een land zoals Nederland je bij anderen zoveel schade bij onschuldige mensen kunt aanrichten met alleen een BSN-nummer, eigenlijk zouden bedrijven verplicht moeten worden om boven bepaalde bedragen andere persoonsinformatie te eisen om fraude te voorkomen.

PRECIES! Bedrijven die menen een vordering op je te hebben, en die komen met 'we hebben een mail ontvangen met uw naam en BSN, dus dat was u' die moeten meteen kunnen worden afgeserveerd met 'als je zo werkt dan zijn die vorderingen niet verhaalbaar, dat soort gedrag is voor eigen risico'.
Het is gewoon belachelijk dat het "weten van je BSN" een of andere vorm van status geeft. DAAR moet de wetgever iets aan doen, niet alsmaar proberen dat lekken van je BSN te voorkomen.
12-05-2024, 18:29 door Anoniem
In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit.
Dan is het probleem in feite opgelost.

Je geeft geen paspoort of ID af, maar gewoon je rijbewijs.
Dat moet dus gewoon voldoende zijn.
12-05-2024, 18:39 door Anoniem
Ik heb al gehoord dat de ANWB-beveiliging (plastic hoesje) van paspoort of ID wordt verwijderd als je wilt inboeken bij een hotel in Nederland. Hierdoor kunnen ze alsnog een volledige kopie maken, terwijl dit NIET is toegestaan. Zie voor meer info bij de onderstaande website.

https://www.maxvakantieman.nl/artikelen/tips-hulp/een-kopie-afgeven-van-je-identiteitsbewijs-doe-dat-niet-bij-deze-organisaties/
12-05-2024, 19:34 door Anoniem
Door Anoniem:
Door Anoniem: Wel raar dat in een land zoals Nederland je bij anderen zoveel schade bij onschuldige mensen kunt aanrichten met alleen een BSN-nummer, eigenlijk zouden bedrijven verplicht moeten worden om boven bepaalde bedragen andere persoonsinformatie te eisen om fraude te voorkomen.

PRECIES! Bedrijven die menen een vordering op je te hebben, en die komen met 'we hebben een mail ontvangen met uw naam en BSN, dus dat was u' die moeten meteen kunnen worden afgeserveerd met 'als je zo werkt dan zijn die vorderingen niet verhaalbaar, dat soort gedrag is voor eigen risico'.
Het is gewoon belachelijk dat het "weten van je BSN" een of andere vorm van status geeft. DAAR moet de wetgever iets aan doen, niet alsmaar proberen dat lekken van je BSN te voorkomen.
Absoluut! +10
12-05-2024, 19:39 door Anoniem
De Yivi app is wel aardig om info af te scheiden, maar er moet inderdaad een permanente oplossing komen om ervoor te zorgen dat niet alleen de kennis van een BSN-nummer iemand in de problemen kan brengen.
https://f-droid.org/en/packages/org.irmacard.cardemu/
12-05-2024, 21:16 door Anoniem
AP: Niet kletsen maar handhaven graag.
12-05-2024, 23:05 door Anoniem

Een aantal jaren geleden was de (batterij) digi-pas van de (sns) bank leeg, Dus klik op de site van nieuwe digi-pas aanvragen.

Één week later, Ding dong.

Bezorger: Zullen we dit even binnen afhandelen?
Ik: Wat?
Bezorger: Het afgeven digi-pas en scannen!
Ik: Scannen van wat?
Bezorger: ID kaart of paspoort!
Ik: Geen haar op mijn hoofd die eraan denk om een postbode mijn ID te laten scannen!!
Bezorger: Ja maar.. Dat moet van de bank!!
Ik: Ik wil best mijn ID tonen, maar inscannen? Echt niet!
Bezorger: Dan krijgt U de digi-pas ook niet!
Ik: Prima!
Bezorger gaat weg.
Bank gebeld, dat ik deze methode weiger en het digi-pas ding morgen wel bij het filiaal ophaal..
Hoop gemopper aan de telefoon..

Tegenwoordig worden ze in een blanco / onherkenbare envelop door de brievenbus geworpen..
12-05-2024, 23:51 door Erik van Straten
Door Anoniem:
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?
Een kassabon is wel erg makkelijk te vervalsen.
De eerste anoniem heeft m.i. absoluut een punt.

Het doel is het voorkómen dat een dief een pakketje afhaalt. Alleen een héél stomme dief zal diens eigen identiteitsbewijs laten scannen, je zult hier dus weinig dieven mee pakken.

Veel beter lijkt het mij als de klant, als betalingsbewijs, een geheim te houden en niet te raden code ontvangt, wellicht het handigste in de vorm van een QR-code. Als, op het afhaalpunt, het scannen van de QR-code op het pakket (die moet afwijken van de betaalbewijs-QR-code!) en de betaalbewijs-QR-code "groen licht" geeft, kan het pakket worden meegegeven.

Technisch kan de betaalbewijs-QR-code een groot random getal bevatten en de QR-code op het pakket een cryptografische hash van het random getal. De scanner berekent de hash van de code van de klant en vergelijkt deze met de hash op het pakket.

Zolang de klant zorgt dat diens betaalbewijs-QR-code niet in verkeerde handen valt (en de verkopende website die code niet lekt) kan alleen de echte klant het pakket (laten) afhalen. Als de klant de code kwijtraakt maar een account heeft bij de webshop, kan die webshop de betaalbewijs-QR-code opnieuw aan de klant verstrekken.

Er bestaat dan het risico dat een nepperd aan de deur zegt de betaalbewijs-QR-code te moeten scannen waarna het pakket alsnog zal worden afgeleverd, maar het risico daarvan lijkt mij kleiner dan dat iemand aan de deur zegt jouw identiteitsbewijs te moeten scannen zogenaamd voor dat doel.

Het kan nog iets veiliger door een vertrouwde app, en/of een vertrouwde third-party website, zowel het grote random getal als de daarvan (éénweg) afgeleide hash genereert, en de webshop de betaalbewijs-QR-code zelf nooit in handen krijgt (en dus ook niet kan lekken).
13-05-2024, 00:10 door Anoniem
Door Anoniem:
In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit.
Dan is het probleem in feite opgelost.
(nieuwe anoniem)
Alleen voor degenen die een rijbewijs hebben.
13-05-2024, 00:42 door Anoniem
Door Anoniem: De controle zelf is het probleem nog niet eens. Simpel fysiek de pas met het hoofd vergelijken, zou voldoende kunnen zijn.
Ja, mits een supermarkt waarin een pakketafhaalpunt gerealiseerd is en waar het gewone supermarktpersoneel "de pakketjes erbij doet" haar eigen personeel vertrouwt. Dat blijkt niet het geval te zijn.

Ik ben ooit de discussie aangegaan met een Postnl pakketafhaalpunt in een Coöp, waarbij van mijn ID-bewijs het documentnummer gescand werd (wat wettelijk is toegestaan, maar je moet er wel op vertrouwen dat het apparaat alléén dat scant).
Ik kreeg als antwoord dat dit gedaan werd om te voorkomen dat het eigen personeel pakketjes steelt.
Ik neem aan dat de betreffende supermarkt dat inderdaad heeft meegemaakt.

Oké, dat is dus een probleem - voor de supermarkt.
Maar ik vind het principieel niet kloppen dat de oplossing dan via de klant/pakketgeadresseerde gaat: deze laatste moet dan maar iets van zijn/haar ID-document achterlaten in een machine (wat dus opgeslagen wordt)...
Gewoon fout van zo'n supermarkt en gemakzuchtig/ de weg van de minste weerstand kiezen.
13-05-2024, 05:49 door Anoniem
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?
Bij een webwinkel krijg je nooit een kassabon, je rekent namelijk online af en niet bij een kassa. Ik neem aan dat je een aankoopbon bedoelt.

Hoe kan het afhaalpunt zien dat de aankoopbon bij het pakketje hoort? Er wordt nagenoeg altijd een doos omheen gedaan, en er zijn aankopen, zoals seksspeeltjes, waar de webwinkel expliciet zorgt dat je aan de doos zelfs niet kan zien van wat voor soort winkel die afkomstig is.
13-05-2024, 06:44 door Anoniem
Door Anoniem: PRECIES! Bedrijven die menen een vordering op je te hebben, en die komen met 'we hebben een mail ontvangen met uw naam en BSN, dus dat was u' die moeten meteen kunnen worden afgeserveerd met 'als je zo werkt dan zijn die vorderingen niet verhaalbaar, dat soort gedrag is voor eigen risico'.
Het is gewoon belachelijk dat het "weten van je BSN" een of andere vorm van status geeft. DAAR moet de wetgever iets aan doen, niet alsmaar proberen dat lekken van je BSN te voorkomen.
Het scannen van een ID-bewijs moet hoe dan ook niet nodig zijn. Het is niet zo dat de echtheidskenmerken daar goed op staan. Het gaat alleen om het controleren ervan en hooguit om het noteren van het documentnummer.

Dus waarom doen allerlei bedrijven het toch? Omdat als het erop aankomt een scan als bewijs betrouwbaarder is dan gegevens die iemand mogelijk niet foutloos heeft overgeschreven of die helemaal niet zijn overgeschreven. Omdat een scan sneller gaat dan zorgvuldig overschrijven. Omdat de tijd die zorgvuldigheid kost duur is. Omdat die bedrijven in een race naar de bodem zitten qua kosten en dus kiezen voor oplossingen die zo snel mogelijk zijn en zo laag mogelijke eisen aan personeel stellen met toch een zo hoog mogelijke betrouwbaarheid. Omdat onze hele economie daarop gericht is en we daar ook massaal aan meedoen als we prijzen vergelijken en voor de goedkoopste gaan.

Ik denk dat het helemaal niet simpel zal zijn om dat te doorbreken.
13-05-2024, 06:47 door Anoniem
Door Anoniem:
In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit.
Dan is het probleem in feite opgelost.

Je geeft geen paspoort of ID af, maar gewoon je rijbewijs.
Dat moet dus gewoon voldoende zijn.

Even kort uit je bubbel komen.
Dan moet je namelijk wel een rijbewijs bezitten.
Die oplossing is niet 100% dekkend.
Niet iedereen kan of mag auto rijden. De rest heeft dan maar pech gehad?


Andere mogelijke oplossing:
- Geen gevoelige persoonsgegvens in een qr-code opnemen.
- Wetgeving mbt identificatie aanpassen. (Maak in ieder geval een onderschied tussen verificatie en registratie/opslag/verwerking) En leg ook meteen maar vast dat een (BSN/sofi) nummer niet identiek aan een levend mens is.
- Gebruiksdoelen van reisdocumenten zwaar inperken, met zware straffen bij overtreding (door mn. commerciele organisaties)


"I am NOT a number. I am a free man".
-- The Prisoner.
13-05-2024, 08:54 door Anoniem
Even een stapje terug:

Een bezorger kan gewoon een code via mail verzenden (of via een “ik heb je gemist”-briefje) die je kunt opnoemen wanneer je een pakket komt halen bij een afhaalpunt of uit een kluisje.

Het hele idee dat je je moet legitimeren is al bizar en suggereert dat je je echt naam gebruikt op een pakketje (wat al dom is, want dan verzamelen de webshops al te veel info over je wat sowieso een keer gelekt wordt).

Ofwel, er zijn veel lichtere methodes met minder privacy-impact voorhanden dan een ID-kaart controleren laat staan scannen.

En er lopen een hoop domme mensen rond. Jaren beleden bij AH een pakket af moeten halen en toen gingen ze vrolijk de BSN overnemen van de id-kaart. Dit had natuurlijk het documentnummer moeten zijn en überhaupt slaat het al nergens op dat een pakket op echte naam moet om bovenstaande. Maar de medewerkster bleef volhouden.

Tegenwoordig bestel ik alles via een fake naam en laat het pakket afleveren in een anoniem afhaalkluisje waarvan ik een code krijg toegestuurd via een anoniem mailadres. Betalen doe ik met virtuele credit cards, zodat de webshop en bezorger in feite geen info over mijn identiteit hebben. Wel zo veilig, want elke webshop gaat een keer je data lekken.
13-05-2024, 09:10 door Anoniem
Een postbezorger heeft helemaal niet je echte identiteit nodig! Er zijn veel lichtere methodes om te controleren of een pakketje bij de juiste persoon aankomt. Zoals een code per e-mail, wat al vaak wordt toegepast.

Het kopiëren van id-kaarten of scannen met QR van ID is allemaal gemakzucht en daarmee probeer de bezorging zich in te dekken maar het gaat zwaar ten kosten van de privacy en veiligheid van de consument.
13-05-2024, 09:22 door Bitje-scheef
Er zijn nooit strakke richtlijnen afgegeven en dus ook geen handhaving. Dit is vooral een nalatigheid van de politiek die de wet niet goed heeft opgezet (lees pas geactiveerd, ingehaald door de moderne tijd). Back to the drawingboard. BSN is eigenlijk alleen voor de overheid (of partijen met toestemming) nodig.
13-05-2024, 09:27 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?
Een kassabon is wel erg makkelijk te vervalsen.
De eerste anoniem heeft m.i. absoluut een punt.

Het doel is het voorkómen dat een dief een pakketje afhaalt. Alleen een héél stomme dief zal diens eigen identiteitsbewijs laten scannen, je zult hier dus weinig dieven mee pakken.

Dat is ook helemaal het doel niet. De bedoeling is dat de medewerker controleert of de naam op het ID bewijs hetzelfde is als de geaddresseerde op het pakketje, en zo niet de klant wegstuurt met "u krijgt dit pakketje niet mee want het is niet voor u, regelt u eerst een machtiging van de juist ontvanger om dit af te mogen halen".
De scan van het ID bewijs is alleen om later, als klanten komen met "het is door iemand anders afgehaald" het bewijs te hebben dat inderdaad het ID bewijs van de gerechtmatigde afhaler is getoond. Niet om een dief te pakken, maar om fraudeuleuze diefstalmelders te pakken.

Nu zal dit forum meteen weten "dat dit niet deugt", want "de dief zou toch het ID bewijs van de afhaler kunnen hebben" of "de dief zou toch dezelfde naam/voorletter kunnen hebben als de legitieme ontvanger" enz enz.
Maar dat is waar de echte wereld verschilt van de denkwereld van de zolderkamer IT'er: er wordt vanuit gegaan dat dat geen plausibele scenario's zijn. "bewijs" in dit soort gevallen en in rechtzaken enzo is wat anders dan "wiskundig bewijs".

Dat geldt ook voor allerlei clevere oplossingen met random codes. De klant HEEFT al een unieke code voor het afhalen van het pakket: de trackingcode. Maar als je zou eisen dat iedere pakket afhaler altijd de trackingcode overlegt dan krijg je een hoop gedoe van mensen die die dan weer niet bij zich hebben. Tegenwoordig moet je bij oplossingen niet alleen kijken hoe die het proces beveiligen, maar ook hoe die kunnen leiden tot veiligheidsrisico's voor de mensen die die moeten uitvoeren, met name het risico dat klanten boos worden en geweld gaan gebruiken.
13-05-2024, 09:43 door Anoniem
Dit soort artikelen zijn natuurlijk een honeypot.

Even voor de duidelijkheid: Op je RIJBEWIJS staat geen BSN In de QR code. Haal hem maar door een QR reader heen.

Het gaat in dit artikel alleen om ID-kaart en paspoort, in absolute vorm.
13-05-2024, 09:59 door Anoniem
Id documenten zouden gebruiks vriendelijk gemaakt kunnen worden...
Voorkant scanbare openbare info, achterkant PI gevoelige data data...

Bij afhalen van spullen kan een afhaalbewijs worden gestuurd....
Afhaalbon of digitaal verwerkbaar equivalent...
Dan kan het afhalen ook door derden geregeld worden.
13-05-2024, 10:37 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?
Een kassabon is wel erg makkelijk te vervalsen.
De eerste anoniem heeft m.i. absoluut een punt.

Het doel is het voorkómen dat een dief een pakketje afhaalt. Alleen een héél stomme dief zal diens eigen identiteitsbewijs laten scannen, je zult hier dus weinig dieven mee pakken.

Dat is ook helemaal het doel niet. De bedoeling is dat de medewerker controleert of de naam op het ID bewijs hetzelfde is als de geaddresseerde op het pakketje, en zo niet de klant wegstuurt met "u krijgt dit pakketje niet mee want het is niet voor u, regelt u eerst een machtiging van de juist ontvanger om dit af te mogen halen".
De scan van het ID bewijs is alleen om later, als klanten komen met "het is door iemand anders afgehaald" het bewijs te hebben dat inderdaad het ID bewijs van de gerechtmatigde afhaler is getoond. Niet om een dief te pakken, maar om fraudeuleuze diefstalmelders te pakken.

Nu zal dit forum meteen weten "dat dit niet deugt", want "de dief zou toch het ID bewijs van de afhaler kunnen hebben" of "de dief zou toch dezelfde naam/voorletter kunnen hebben als de legitieme ontvanger" enz enz.
Maar dat is waar de echte wereld verschilt van de denkwereld van de zolderkamer IT'er: er wordt vanuit gegaan dat dat geen plausibele scenario's zijn. "bewijs" in dit soort gevallen en in rechtzaken enzo is wat anders dan "wiskundig bewijs".

Dat geldt ook voor allerlei clevere oplossingen met random codes. De klant HEEFT al een unieke code voor het afhalen van het pakket: de trackingcode. Maar als je zou eisen dat iedere pakket afhaler altijd de trackingcode overlegt dan krijg je een hoop gedoe van mensen die die dan weer niet bij zich hebben. Tegenwoordig moet je bij oplossingen niet alleen kijken hoe die het proces beveiligen, maar ook hoe die kunnen leiden tot veiligheidsrisico's voor de mensen die die moeten uitvoeren, met name het risico dat klanten boos worden en geweld gaan gebruiken.
Door Anoniem:
Door Erik van Straten:
Door Anoniem:
Door Anoniem: Heeft iemand er al aan gedacht dat je gewoon de betaalde kassabon kunt laten zien en dat als dat pakketje dan netjes al vantevoren door de toonder betaald blijkt het niemand meer zou moeten kunnen schelen wie je dan precies bent?
Een kassabon is wel erg makkelijk te vervalsen.
De eerste anoniem heeft m.i. absoluut een punt.

Het doel is het voorkómen dat een dief een pakketje afhaalt. Alleen een héél stomme dief zal diens eigen identiteitsbewijs laten scannen, je zult hier dus weinig dieven mee pakken.

Dat is ook helemaal het doel niet. De bedoeling is dat de medewerker controleert of de naam op het ID bewijs hetzelfde is als de geaddresseerde op het pakketje, en zo niet de klant wegstuurt met "u krijgt dit pakketje niet mee want het is niet voor u, regelt u eerst een machtiging van de juist ontvanger om dit af te mogen halen".
De scan van het ID bewijs is alleen om later, als klanten komen met "het is door iemand anders afgehaald" het bewijs te hebben dat inderdaad het ID bewijs van de gerechtmatigde afhaler is getoond. Niet om een dief te pakken, maar om fraudeuleuze diefstalmelders te pakken.

Nu zal dit forum meteen weten "dat dit niet deugt", want "de dief zou toch het ID bewijs van de afhaler kunnen hebben" of "de dief zou toch dezelfde naam/voorletter kunnen hebben als de legitieme ontvanger" enz enz.
Maar dat is waar de echte wereld verschilt van de denkwereld van de zolderkamer IT'er: er wordt vanuit gegaan dat dat geen plausibele scenario's zijn. "bewijs" in dit soort gevallen en in rechtzaken enzo is wat anders dan "wiskundig bewijs".

Dat geldt ook voor allerlei clevere oplossingen met random codes. De klant HEEFT al een unieke code voor het afhalen van het pakket: de trackingcode. Maar als je zou eisen dat iedere pakket afhaler altijd de trackingcode overlegt dan krijg je een hoop gedoe van mensen die die dan weer niet bij zich hebben. Tegenwoordig moet je bij oplossingen niet alleen kijken hoe die het proces beveiligen, maar ook hoe die kunnen leiden tot veiligheidsrisico's voor de mensen die die moeten uitvoeren, met name het risico dat klanten boos worden en geweld gaan gebruiken.

Beetje een onzinverhaal. Codes worden heel vaak toegepast en dat is ook een geaccepteerde oplossing. Vragen om een ID (en zeker een scan ervan maken) is buitenproportioneel. Er zijn lichtere methodes voorhanden om te controleren dat het pakket bedoeld is voor een specifiek persoon, namelijk als deze de code kan overleggen.
En een track & tracé is niet zo’n code en is ook nooit genoemd. Deze is te lang en in principe publiek.
13-05-2024, 10:42 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Het doel is het voorkómen dat een dief een pakketje afhaalt. Alleen een héél stomme dief zal diens eigen identiteitsbewijs laten scannen, je zult hier dus weinig dieven mee pakken.

Dat is ook helemaal het doel niet.
Om vervolgens in eigen woorden te bevestigen wat ik schreef.

Door Anoniem: De scan van het ID bewijs is alleen om later, als klanten komen met "het is door iemand anders afgehaald" het bewijs te hebben dat inderdaad het ID bewijs van de gerechtmatigde afhaler is getoond.··Niet om een dief te pakken, maar om fraudeuleuze diefstalmelders te pakken.
Waarom zou deze maatregel niet genomen zijn om diefstal door personeel (de hele route van webshop tot afhaalpunt) te bemoeilijken? Hoe hard is het bewijs dat een identiteitsbewijs zou zijn gescand, voor het afhalen van een specifiek pakket (denk aan de situatie dat iemand vaker pakketjes ophaalt bij dat afhaalpunt, of dat zo'n scan is gaan zwerven)?

https://security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

Door Anoniem: Dat geldt ook voor allerlei clevere oplossingen met random codes.··De klant HEEFT al een unieke code voor het afhalen van het pakket: de trackingcode.··Maar als je zou eisen dat iedere pakket afhaler altijd de trackingcode overlegt dan krijg je een hoop gedoe van mensen die die dan weer niet bij zich hebben.··Tegenwoordig moet je bij oplossingen niet alleen kijken hoe die het proces beveiligen, maar ook hoe die kunnen leiden tot veiligheidsrisico's voor de mensen die die moeten uitvoeren, met name het risico dat klanten boos worden en geweld gaan gebruiken.
Jij denkt dat klanten niet boos worden als zij hun pakketje niet krijgen?

Stel ik een keer een technische oplossing voor, is het weer niet goed, uit https://security.nl/posting/841180:
Door Anoniem (die in de hierboven en de hieronder aangegaalde reactie meestal twee spaties achter elke punt zet): Ik denk dat de lezers er ook niet veel aan hebben dat jij altijd bij iedere oplossing (niet alleen hier maar ook in andere topics) meteen even vermeldt waarom die niet goed is.··Dat gaat zo ver dat je zelfs claimt dat problemen helemaal niet oplosbaar zijn.
En waar blijft jouw -betrouwbare en privacyvriendelijke- oplossing voor dit probleem?
13-05-2024, 11:34 door Anoniem
Door Anoniem: Wel raar dat in een land zoals Nederland je bij anderen zoveel schade bij onschuldige mensen kunt aanrichten met alleen een BSN-nummer, eigenlijk zouden bedrijven verplicht moeten worden om boven bepaalde bedragen andere persoonsinformatie te eisen om fraude te voorkomen.
Het hoeft niet eens je eigen schuld te zijn; mijn woningbouwvereniging en ISP hebben eerder beide mijn persoonsgegevens gelekt, gelukkig had ik alles bewerkt alvorens een kopie van mijn ID op te sturen, anders stond ik nu met mijn gezicht en BSN op het darkweb...
Dit kan zo toch niet langer?
Politiek, doe hier wat aan AUB, het kan ook u gebeuren.

Misschien moet eerst een lid van het Kabinet een nadeel ondervinden... dat zou natuurlijk wel een crisis vormen die dan wel weer gemanaged kan worden.
13-05-2024, 13:39 door Anoniem
leeftijd is wel nodig ivm producten als alcohol
Er zijn meer bedrijven die onterecht/onnodig op kopiepaspoort vragen, denk aan hotels. Bij aankomst paspoort inzien (zonder kopie) zou voldoende moeten zijn. naam is al geregistreerd
13-05-2024, 13:45 door Anoniem
Je geeft geen paspoort of ID af, maar gewoon je rijbewijs.
Dat moet dus gewoon voldoende zijn.
Omslachtig en duur grapje, eerst rijexamen afleggen eerdat je fatsoenlijk pakjes kunt ontvangen.
13-05-2024, 13:56 door eMilt
Door Anoniem: De naam, vervaldatum, afgiftedatum en het documentnummer volstaan.
BSN nummer nooit afgeven.
Foto en leeftijd is niet nodig.
Plak er gewoon een paar stickertjes overheen voordat men zijn/haar pakket komt ophalen.
Je mag de foto uiteraard niet afplakken. De medewerker moeten aan de hand van o.a. de foto wel kunnen vaststellen dat het jouw identiteitsbewijs is. Geboortedatum kan daarbij ook worden gebruikt om in te schatten of je leeftijd wel klopt.
13-05-2024, 14:04 door Briolet
De AP meldt dit ook op de eigen website, waar het verder stelt dat organisaties het BSN alleen mogen verwerken als dat in de wet staat en alleen voor doelen die in de wet staan beschreven.

Ik vraag me af of het BSN nummer überhaupt verwerkt wordt als je de QR code inscant. Het gaat PostNL alleen om het nummer van de ID kaart. Op ID kaarten zonder QR code moeten ze dit nummer handmatig invoeren. Daarom laat ik sinds de introductie van dit scannen mijn rijbewijs zijn. Dat scannen gaat gewoon sneller bij de balie.

In mijn optiek wordt een BSN nummer niet verwerkt als je het niet opslaat. Want anders wordt alleen het kijken naar een QR code al strafbaar.
13-05-2024, 14:06 door Anoniem
Afterpay, Klarna en andere achteraf betaalmethodes afschaffen voor shops/webshops en/of diensten. Direct betalen als je iets wil kopen, of ga naar een winkel.

Onlangs zelf zo'n voorval meegemaakt, en aangifte doen bij de politie is erg lastig. Ze zeggen niets te kunnen omdat de webwinkels over het algemeen in het buitenland zitten.

Ze hebben online bestellingen gedaan onder mijn naam met mijn adresgegevens, vervolgens zijn de pakketten afgestuurd door de firma naar mijn adres en de dader heeft vlak voor afleveren het afleveradres gewijzigd bij de pakketdienst en zo de pakketten in handen gekregen ZONDER zich te legitimeren. Zaak loopt al een tijdje, maar Politie zegt nog altijd niets te kunnen.
13-05-2024, 15:53 door Anoniem
Door Anoniem: Ik heb al gehoord dat de ANWB-beveiliging (plastic hoesje) van paspoort of ID wordt verwijderd als je wilt inboeken bij een hotel in Nederland. Hierdoor kunnen ze alsnog een volledige kopie maken, terwijl dit NIET is toegestaan. Zie voor meer info bij de onderstaande website.

https://www.maxvakantieman.nl/artikelen/tips-hulp/een-kopie-afgeven-van-je-identiteitsbewijs-doe-dat-niet-bij-deze-organisaties/
In Spanje en verschillende andere landen mag je niet overnachten in een hotel/appartement zonder een volledige kopie van je paspoort. Ook als je de reis bij de ANWB hebt geboekt. De reisleidster zegt dat het zo moet, het zijn de regels van dat land. Wat moet je dan?
13-05-2024, 16:50 door Anoniem
Afterpay, Klarna en andere achteraf betaalmethodes afschaffen voor shops/webshops en/of diensten. Direct betalen als je iets wil kopen, of ga naar een winkel.
Het is volgens mij verplicht door de regering dat je een deel achteraf mag betalen. Ik ben het met je eens dat
dit verboden moet worden. Maar ga jij echt iets betalen wat je niet hebt besteld?

https://e-expansion.nl/achteraf-betalen-verplicht

Ik heb vorige week een bestelling gedaan en dit pakket via een afhaalpunt opgehaald, ik had de code opgeschreven
zodat ik geen id hoef te laten zien, tot mijn verbazing kon ik het pakketje zo meenemen, geen id of code nodig, alleen
de naam was genoeg en die kon je afstand af lezen dus je kon zo een pakketje meenemen. Dit was bij een DHL punt.
13-05-2024, 17:23 door karma4
Door Anoniem: De naam, vervaldatum, afgiftedatum en het documentnummer volstaan.
BSN nummer nooit afgeven.
Foto en leeftijd is niet nodig.
Plak er gewoon een paar stickertjes overheen voordat men zijn/haar pakket komt ophalen.
Gaan we weer, een bsn is een nietszeggend nummertje. Het maken van een scan (gezicht klopt naam klopt) heeft als enige doel dat de loketdienst een zo goed mogelijke controle heeft gedaan op de juiste persoon.
Staat daar op de foto een totaal ander gezicht dan is de controle tekort geschoten bij het loket.

Er is een schandaal in UK dat de loket diensten ten onrechte de schuld kregen van fouten in het gebruikte administratieve systeem. Vergelijkbaar met toeslagen. De AP gaat hier op meerder manieren fout:
- Een BSN kopietje mag niet elders gebruikt kunnen worden als bewijs van de juiste persoon.
Een kopietje bankbiljet werkt ook niet als bewijs van geld.
- Indien dat accepteren van een BSN wel als bewijs geaccpeteert wordt dan is dat de inbreuk op Privacy en daar zou de AP op moeten acteren conform de GDPR.
- Met het wijzen naar derden en faciliteren van mogelijk misbruik stelt de AP zich op een zo'n postofficeschandaal conform toeslagen te laten plaatsvinden.
13-05-2024, 17:54 door Anoniem
Door Anoniem: De Yivi app is wel aardig om info af te scheiden, maar er moet inderdaad een permanente oplossing komen om ervoor te zorgen dat niet alleen de kennis van een BSN-nummer iemand in de problemen kan brengen.
"Yivi is being developed by SIDN" nu niet echt de meest betrouwbare partij, dan druk ik mij nog heel voorzichtig uit.
13-05-2024, 18:02 door Anoniem
Gaan we weer, een bsn is een nietszeggend nummertje.
Blijkbaar klopt dat niet wat je schrijft.

https://www.keepersecurity.com/blog/nl/2024/02/07/what-can-someone-do-with-your-social-security-number/
13-05-2024, 18:06 door Anoniem
Door karma4: De AP gaat hier op meerder manieren fout:
- Een BSN kopietje mag niet elders gebruikt kunnen worden als bewijs van de juiste persoon.
Een kopietje bankbiljet werkt ook niet als bewijs van geld.
- Indien dat accepteren van een BSN wel als bewijs geaccpeteert wordt dan is dat de inbreuk op Privacy en daar zou de AP op moeten acteren conform de GDPR.
Je zou gelijk hebben als dit aan AP lag. We hebben het echter over zaken waar civiel recht op van toepassing is, en waar rechters niet uitgaan van bikkelhard bewijs maar van een conflictsituatie tussen twee partijen en (wat mij betreft ten onrechte) vaak aannemen dat als een partij maar gedaan heeft wat een algemeen gangbare slordigheid is die partij voldoende zijn best heeft gedaan. Je kan daardoor geheel buiten AP om zwaar in de shit raken als je BSN ten onrechte bij bijvoorbeeld een incassobureau belandt.

Daarom adviseert AP om iets dat, als je even nadenkt, niet meer bewijskracht heeft dan het noteren van een telefoonnummer toch te behandelen alsof het supergeheim moet worden gehouden.

Dit kan AP niet oplossen, die kan namelijk niet afdwingen dat rechters er inzichtelijker mee omgaan, die zijn onafhankelijk. Rechters kunnen het vermoedelijk ook niet oplossen omdat eerdere uitspraken, jurisprudentie, daar grenzen aan stelt. Het is de wetgever die expliciet in een wetswijziging moet vastleggen dat een BSN of een scan van een identiteitsbewijs voor de rechter geen donder betekent omdat het het origineel niet is en veel te makkelijk te vervalsen is om iets te betekenen.

Bedrijven kunnen best besluiten met BSN's, kopietjes ID-kaart en dergelijke te werken, zodat overschrijffouten van personeel worden opgevangen, maar ze moeten beseffen dat die als het erop aankomt domweg geen donder bewijzen en dat ze zaken gaan verliezen die ze nu nog winnen als ze zich daarop baseren. Maar dan moet de rechter dat wel zo behandelen en ik denk dus dat daar wetgeving voor nodig is die expliciet maakt dat het zo behandeld moet worden, want nu gaat dat anders.
13-05-2024, 19:47 door Anoniem
Door eMilt:
Door Anoniem: De naam, vervaldatum, afgiftedatum en het documentnummer volstaan.
BSN nummer nooit afgeven.
Foto en leeftijd is niet nodig.
Plak er gewoon een paar stickertjes overheen voordat men zijn/haar pakket komt ophalen.
Je mag de foto uiteraard niet afplakken. De medewerker moeten aan de hand van o.a. de foto wel kunnen vaststellen dat het jouw identiteitsbewijs is. Geboortedatum kan daarbij ook worden gebruikt om in te schatten of je leeftijd wel klopt.
Ja inderdaad, daar had ik niet aan gedacht, mijn excuses voor de verkeerde informatie rn mijn dank voor het corrigeren daarvan.
13-05-2024, 19:54 door Anoniem
Door karma4:(..) - Een BSN kopietje mag niet elders gebruikt kunnen worden als bewijs van de juiste persoon.
Een kopietje bankbiljet werkt ook niet als bewijs van geld.
Dat laatste klopt, maar de vergelijking gaat mank: een BSN is een ("klant")nummer en als zodanig oneindig multipliceerbaar. Een bankbiljet wordt uitgegeven met de intentie om niet gedupliceerd te worden. Het dupliceren is uitsluitend voorbehouden aan de bank (van de staat).
Een BSN kopietje mag niet elders gebruikt kunnen worden als bewijs van de juiste persoon.
Mee eens, maar dat betekent m.i. ook dat een kopietje BSN alléén in de staatsadministratie gebruikt mag worden (gedupliceerd). Daar kan het geen kwaad en heeft het een noodzakelijke functie (integriteit van de administratie van de staat).
En dat betekent ook dat het BSN alléén in de administratie van de staat gebruikt mag worden - en niét daarbuiten.

De staat heeft een fout gemaakt door toe te staan dat haar "klantnummers" buiten haar organisatie gebruikt worden. Dit had nooit mogen gebeuren.
Waarom heeft de staat dat toegestaan? Omdat de staat m.i. overmoedige ambities heeft, aan hybris lijdt; ze wil haar stempel namelijk op van alles van de burgers drukken (in een poging om er controle over te krijgen).
Dat is het aandeel van de staat. Het aandeel van de (Nederlandse) burgers en daarmee hun verantwoordelijkheid is, dat zij een ongereflecteerde en vergaande opvatting hebben over de rol van de (verzorgings)staat inzake het leven van burgers. Nederlandse burgers denken niet na, maar gaan pas piepen als er problemen ontstaan (bijvoorbeeld met digitale kopietjes ID).

Er moet een verbod komen op het gebruik van het BSN buiten de staatsadministratie. Ziektekostenverzekeraars of de gezondheidszorg vallen niét onder de staatsadministratie, net zo min als werkgevers; paspoort en ID-kaart daarentegen wèl (zijn eigendom van de staat) - waarbij mogelijk een onderscheid gemaakt moet worden tussen binnenlands en buitenlands gebruik.
Ontvlechten die handel.

De staat èn de burgers hebben het zelf uit de klauwen laten lopen.
Wie aan moerasdenken doet moet niet raar opkijken als hij/zij in een moeras eindigt.

En de AP kan al helemáál niets uitrichten in een moeras, net zo min als enige andere (denkbare) organisatie.

Het moeras waar Nederland in zit is ontstaan door een grandiose vermenging van de verantwoordelijkheden van burgers met die van de staat. Dat is een onontwarbare kluwen geworden waarvan de problematische kanten steeds duidelijker worden.
13-05-2024, 21:37 door Anoniem
Door Anoniem:
In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit.
Dan is het probleem in feite opgelost.

Je geeft geen paspoort of ID af, maar gewoon je rijbewijs.
Dat moet dus gewoon voldoende zijn.
Je geeft helemaal niets af, je laat het zien. Dat moet voldoende zijn.
14-05-2024, 06:49 door Anoniem
Door Anoniem:
Door Anoniem:
In de QR-code op het rijbewijs staat geen BSN. Die mogen pakketpunten dus wel scannen", legt de privacytoezichthouder verder uit.
Dan is het probleem in feite opgelost.

Je geeft geen paspoort of ID af, maar gewoon je rijbewijs.
Dat moet dus gewoon voldoende zijn.
Je geeft helemaal niets af, je laat het zien. Dat moet voldoende zijn.

Maar dan moet je als besdrijf opeens op je medewerkers gaan vertrouwen.
Ook dat is een (juridisch) moeras als een medewerker een keer een fout maakt of onder druk gezet wordt.

Het probleem is door de staat veroorzaakt, en kan alleen door de staat opgelost worden. (op NL of EU niveau)
Burgers zijn in deze alleen maar lijdende voorwerpen.
Overgeleverd aan de nukken van het bedrijfsleven en de slechte wetgeving hierover van (BV Nederland).politici.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.