maak de kopie op papier, en plamuur de niet relevante zaken weg.

even persoonlijk afleveren.

en vervolgens loopt je aanvraag vertraging op, en heb je in plaats van anonimiteit en zorgvuldige afhandeling van je gegevens bereikt dat iedereen in het gemeentehuis je kent, en je stom vind.

Gelijk hebben en krijgen zijn 2 zaken, en als het om een koopkrachttegemoetkoming gaat, zou ik me niet al te principieel opstellen.

Maak een kopie en zorg ervoor dat alleen noodzakelijke gegevens leesbaar zin, schrijf midden op de kopie de datum waarop je de kopie hebt gemaakt en het doel, voorbeeld:

26-11-2014 Kopie t.b.v. koopkrachttegemoetkoming Gemeente X

Door dit er midden op te schrijven kan de kopie niet voor andere doeleinden gebruikt worden. Echter het risico dat men bij onderschepping de losse gegevens gaat gebruiken blijft aanwezig zowel bij post als bij email. Persoonlijk zou ik liever kiezen voor post gezien de groep potentiële aanvallers kleiner is als bij email en daarmee het risico kleiner.

Het ministerie heeft sinds kort ook een app uitgebracht special voor het maken van een kopie van je ID, middel de app kun je vrij gemakkelijk delen van de kopie onleesbaar maken. Hier de link naar de android app:

https://play.google.com/store/apps/details?id=com.milvum.kopieid

Je eigen gemeente? Dan zou ik die papieren gewoon persoonlijk afgeven.

PGP/OTR is niet het enige wat ingevoerd moet worden. Ook de uitvoer van hun privacy beleid mag worden aangescherpt. Een collega moest een keer de geldigheid van een ID controleren en belde de gemeente waar het was uitgegeven. Mevrouw aan de telefoon zei dat het erg druk was en vroeg of het antwoord gemaild mocht worden. Collega kreeg toen een beetje teveel informatie toegestuurd van die gemeente.

Net zoiets als in: https://www.security.nl/posting/27592#posting409844
"Wij hebben in onze blinde eenzijdige zuinige suffe ambtelijke wijsheid bepaald..."
Maar wat doe je er aan?...

Verbaast me. Meeste gemeentesites hebben een beveiligde upload omgeving.

Naming and shaming of melden bij NCSC en een leuk t-shirt ontvangen?

Yep, en een default username/password voor hun CMS, haha

Bij mijn gemeente (Almere) vragen ze voor de koopkrachttegemoetkoming een kopie van loonstrook/uitkeringsspecificatie van September 2014 van jezelf en evt.partner en (raar genoeg) een kopie van mijn bankpas!! Ik vindt dit laatste niet zo prettig en het lijkt mij potentieel onveilig (i.v.m. de gegevens op de bankpas en de mogelijkheid tot het maken van een plastic kopie vd bankpas).Waarom willen ze een kopie vd bankpas en niet gewoon een kopie van een recent bankafschrift met een kopie vd ID-bewijs (zoals een paspoort,rijbewijs,verblijfsvergunning)?? Op een bankafschrift staan o.m.adres,rekeningnummer dus waarom hebben ze dan een kopie vd bankpas nodig!?

De enige zinvolle reden die ik me zo snel kan voorstellen is controleren dat je een eigen rekeningnummer opgeeft en niet dat van een crimineel. Als de aanvrager een katvanger o.i.d. is, of als iemand zich met zijn papierwerk door een 'vriend' laat helpen bij de aanvraag.

Maar echt snappen doe ik het niet, want als ik wil frauderen, kan ik een kopie leveren met elk willekeurig nummer erop. Het originele pasje laten zien lijkt me dan het minste ter controle.

Omdat veel mensen geen rekeningafschriften meer hebben, en steeds minder mensen een printer in huis hebben?

Daarnaast moet je je normaal identificeren bij het ophalen van een betaalpas. Dat maakt het al een stukje lastiger om te frauderen.
Natuurlijk is dat niet de belangrijkste fraude check, die doet de gemeente achter de schermen door gebruik te maken van de aangeleverde gegevens. Daar hoort ook het controleren van de naam en adres stelling van je bankrekening(en) bij.

Uiteraard heeft iedereen rekeningafschriften. ze zijn alleen niet meer op papier gedrukt maar digitaal.

Ik kan mij niet herinneren dat ooit gedaan te hebben. Nieuwe bankpassen en creditcards worden door de postbode (hopelijk) in mijn brievenbus gegooid (en vervolgens daar -eveneens hopelijk- niet uitgevist).

Het is evident dat enkel het kunnen overleggen van een kopie van een bankpas op geen enkele wijze de bedoelde eigenaar ervan authenticeert.

Erger: personen en/of organisaties die enige waarde hechten aan zo'n kopie brengen de echte eigenaar van een bankpas in een onmogelijke positie indien een fraudeur, onterecht, met zo'n kopie claimt voornoemde echte eigenaar te zijn. Die echte eigenaar heeft gewoon geen middelen om te bewijzen: "It Wasn't Me". Om die reden zouden dit soort praktijken verboden moeten worden (tenzij organisaties door mijn bijdragen op security.nl gaan inzien dat ze met flauwekulbeveiliging bezig zijn ;)

Toelichting: maatregelen om misbruik van pinpassen te voorkomen
(1) Moderne bankpassen bevatten allemaal een chip. Bij die chip is informatie opgeslagen die de echtheid van de pas aantoont, en die niet eenvoudig kan worden gekopieerd. De chip is in staat om, met grote zekerheid, te bewijzen dat die geheime informatie "aan boord" is, en het dus niet om een kopie van de pas gaat. Dit middel, hoewel niet perfect, is een enorme verbetering t.o.v. de magneetstrip-pas (zo'n magneetstrip kan, met een simpel cassetterecorder lees/schrijfkopje, worden uitgelezen, waarna de gegevens met zo'n zelfde kopje op de magneetstrip van een andere pas kunnen worden geschreven);

(2) Gebruikers wordt op het hart gedrukt voorzichtig om te gaan met de pas, om zo de kans op verlies en/of diefstal ervan zo klein mogelijk te houden. Ook nemen banken maatregelen (hoewel niet allemaal even effectief) om te helpen signaleren dat een nieuwe pas, na verzending, kennelijk niet bijtijds door de bedoelde nieuwe eigenaar is ontvangen;

(3) Bij elke transactie moet de bezitter van de bankpas bewijzen de legitieme bezitter van de pas te zijn (authenticatie) door haar pincode in te toetsen (sinds "dip&go" http://www.pin.nl/betalen-zonder-pincode-bij-parkeerautomaten/ en, meer recent, NFC, geldt dit niet meer voor alle transacties, helaas steeds meer afzwakkingen dus [1]). Met het invoeren van de pincode wordt getracht probleem (2) te bestrijden. Erg goed lukt dat niet, want tijdens het invoeren, kan een pincode vaak eenvoudig worde afgekeken (met name op de geldautomaten die je in Albert Heijn vindt - met een belachelijk groot keyboard zonder enige visuele afscherming). Daarnaast kun je alleen maar hopen dat pinkaartlezers niet zijn gemanipuleerd en de communicatie met achterliggende systemen, alsmede die systemen zelf, fatsoenlijk is/zijn beveiligd.


Ondanks alle nadelen die ik noem, vinden we met z'n allen het risico op pinpasfraude acceptabel, want in veel gevallen werkt de combinatie van bovenstaande maatregelen best redelijk, en -in principe- krijg je de (meeste) schade vergoed in het geval van diefstal.

Fotokopie van bankpas?
Echter, wat natuurlijk helemaal niets voorstelt, is een fotokopie van een bankpas. Denkbaar is zelfs dat een fraudeur zo'n kopie kan "fotoshoppen" uit een foto die zij met een smartphone, uit het raam van een flat boven een geldautomaat, maakt (waar mensen met de pas in de hand naar toe kunnen lopen). Of met een Google Glass bij een pinautomaat in een winkel. Geen enkele van de drie door mij genoemde maatregelen heeft effect op deze manier van "authenticeren", je moet dit gewoon niet willen en niet doen. Het zou goed zijn als alle Nederlanders zouden weigeren om mee te doen aan dit soort praktijken.

Ik weet ook wel zeker dat ik mij niet (altijd) gelegitimeerd heb met een origineel identiteitsbewijs. Kijk maar naar de websites van internetbanken. Ze bieden meestal ook betaalpassen aan, maar legitimeren doe je daar doorgaans met kopietjes van identiteitspapieren.

En ik heb dit jaar een bankrekening geopend en een betaalpas ontvangen bij een Duitse bank, terwijl ik de afgelopen jaren niet eens in Duitsland geweest ben. Dat ging ook alles telefonisch en per e-mail.