image

Onderzoekers: DigiD-opvolger is privacybestendig

donderdag 24 september 2015, 14:28 door Redactie, 21 reacties
Laatst bijgewerkt: 24-09-2015, 15:13

De opvolger van DigiD, het eID-stelsel, is privacybestendig, zo hebben onderzoekers vastgesteld. Via het eID-stelsel kunnen burgers en het bedrijfsleven straks bij zowel de overheid als bedrijven inloggen. Daarbij kan er uit meerdere inlogmiddelen worden gekozen. Gebruikers zijn daardoor niet afhankelijk van één elektronisch identificatiemiddel; bijvoorbeeld bij uitval of storingen zijn dan andere inlog-opties mogelijk.

Dit jaar heeft de regering als doel om een "Introductieplateau eID" te realiseren, zodat pilots met het nieuwe identificatiemiddel kunnen worden uitgevoerd. Er is nu een Privacy Impact Assessment (PIA) uitgevoerd om de privacybestendigheid van het introductieplateau te toetsen en de conclusie is positief (pdf). Volgens de onderzoekers is het van groot belang dat tijdens de ontwerpfase van het eID Stelsel wordt gekeken welke privacy bedreigende risico’s in het geding zijn.

Uit het onderzoek blijkt dat in het introductieplateau er technische en procedurele maatregelen zijn genomen om de privacy van deelnemende burgers en consumenten te beschermen. "Onze overall conclusie is dat het eID Stelsel juist veel privacy bevorderende maatregelen in zich heeft die de doelstellingen van het eID Stelsel ondersteunen. Onze conclusie is dus positief over de aanpak en opzet van het eID Stelsel aangaande de privacyaspecten gezien het ontwerpstadium", zo stellen de opstellers van het rapport.

Risico's

Toch zijn er ook kritische geluiden als het om de privacybescherming en mogelijke risico's gaat. Het gaat dan om zaken als identiteitsfraude, 'function creep', het onrechtmatig gebruik van uniek identificerende gegevens, profiling, stigmatisering door koppeling van gegevens, geheime (niet transparante) verwerking van persoonsgegevens, datalekken en omkering van de bewijslast voor de betrokkene.

Volgens het ministerie van Binnenlandse Zaken kunnen de risico's die in het assessment naar voren komen met aanvullende procedurele maatregelen worden opgelost. Deze maatregelen zullen worden verwerkt in een volgende versie van het Afsprakenstelsel, die wordt vastgesteld voordat de pilots van start gaan. De komende maanden zal het eID Stelsel, dat inmiddels is omgedoopt tot Idensys, worden geïntroduceerd en kunnen de eerste tests van gang gaan, zo blijkt uit de jaarplanning (pdf).

Reacties (21)
24-09-2015, 14:36 door SPlid
Misschien een stomme vraag : Welke onderzoekers , en dan meer expliciet : Door wie zijn ze betaald ?

De jaarplanning lijkt van het soort template met invulling van de hoofdstukjes .
24-09-2015, 14:51 door [Account Verwijderd] - Bijgewerkt: 24-09-2015, 14:52
Het zijn dezelfde geluiden als toen digid online ging, daar kwamen ze al heel snel van terug.

[Optimism]
Maar goed, laten we er maar vanuit gaan dat ze weten wat ze doen.
[/Optimism]

Nadeel is dat het nagenoeg door je strot geduwd wordt. Als je belastingaangifte wilt doen, voor je zorgverzekering en (deeltijd)studie,,, Overal moet je inloggen tegenwoordig, alsof een normale IRL handtekening er niet meer toe doet...
24-09-2015, 14:51 door Mozes.Kriebel
Toch zijn er ook kritische geluiden als het om de privacybescherming en mogelijke risico's gaat. Het gaat dan om zaken als identiteitsfraude, 'function creep', het onrechtmatig gebruik van uniek identificerende gegevens, profiling, stigmatisering door koppeling van gegevens, geheime (niet transparante) verwerking van persoonsgegevens, datalekken en omkering van de bewijslast voor de betrokkene.
Deze risico's hebben maar zijdelings te maken met privacy. Ik zie derhalve nog niet echt een verbetering t.o.v. DigID
24-09-2015, 14:54 door Anoniem
Door SPlid: Misschien een stomme vraag : Welke onderzoekers , en dan meer expliciet : Door wie zijn ze betaald ?

De jaarplanning lijkt van het soort template met invulling van de hoofdstukjes .
Dit bedrijf heeft in opdracht van Logius de PIA uitgevoerd: Mazars
Het bedrijf levert thans ook diensten op het gebied van Digid: http://www.mazars.nl/Startpagina/Nieuws/Thema-s/DigiD-beveiliging

De medewerker van Mazars, Jan Matto, is zelf niet heel erg privacy bewust, aangezien in de properties van het pdf-document zijn e-mailadres staat.
24-09-2015, 15:11 door Anoniem
Hoezo privacy?

'function creep', het onrechtmatig gebruik van uniek identificerende gegevens, profiling, stigmatisering door koppeling van gegevens, geheime (niet transparante) verwerking van persoonsgegevens

Het rapport
5)
De bewaarplicht van 7 jaar vanuit eHerkenning lijkt een overerving vanuit een financieel
administratieve toepassing.

Suggestie is om dit na het Introductieplateau eID verder te differentie?ren naar toepassingsgebied en de bewaartermijnen zover mogelijk te minimaliseren, zeker voor meer gevoelige persoonsgegevens.
Hierbij moet rekening worden gehouden met specifieke kwetsbare groepen (kinderen, ex-gedetineerden, zieken, etc.).

Samenloop van rollen van eID Deelnemers en mogelijk zelfs ook samenloop van rollen van eID deelnemers en eID Dienstaanbieders vergroot het risico’s op verwerking van ongewenste combinaties van persoonsgegevens, ontstaan van ongelimiteerde verzamelingen van persoonsgegevens, zogenaamde “hotspots”.

Ook vergroot deze ongewenste samenloop van rollen meer specifiek de risico’s van: profiling en function
creep.

Het verdient aanbeveling om in de governance ongewenste samenloop van rollen (functiescheidingen) van eID deelnemers te gaan reguleren.
In het bijzonder is daarbij aandacht nodig voor de risico’s van profiling en function creep: aanwending van
persoonsgegevens voor een ander doel dan is vastgesteld voor het specifieke doel, en behorend bij de specifieke rol, van een eID Deelnemer.

Dit kan mede bereikt worden door standaard strak begrensde doelbindingsafspraken op te stellen.
Een andere noodzakelijke aanvullende maatregel is vervolgens om periodieke “privacy audits” uit te voeren bij eID
Deelnemers waarbij naleving van deze privacy principes en beheersing van privacy risico’s worden getoetst.

Het hanteren van een generiek normenkader is daarbij essentieel en dient nog opgesteld te worden.
Dit zal in overleg met de Toezichthouder verder moeten worden uitgewerkt in 2016.

Allesbehalve privacy bestendig!

De deur staat wagenwijd open naar misbruik middels function creep.
De ervaring leert namelijk dat function creep de standaardmethode is van de overheid om gevoelige zaken op lange termijn erdoor te drukken.
Keer op keer, eerst een nieuwe infrastructuur invoeren om vervolgens later stapje voor stapje zaken op te rekken.
Waar was die kamera boven de weg ooit voor? En nu?
enzovoort enzovoort enzovoort

Een onterechte voorbarige conclusie dus, belangrijke zaken zijn nog niet uitgewerkt en vermoedelijk ook vanuit bekende belanghebbende reden : vanwege het surveillance normenkader dat op de achtergrond en uit het zicht gewoon doordendert door ongebreidelde gegevensverzameling en deling na te streven.

Conclusie : DigiD-opvolger is helemaal niet privacybestendig!
Zij is een regelrechte bedreiging voor de privacy ivm ingebouwde function creep

(die er vermoedelijk als optie ook in zal blijven zitten).

Slim gespeeld weer, het zijn toch de (verkeerde) koppen die onthouden worden en niet de kleine lettertjes.
In 2016 zal er in stilte selectief geshopt gaan worden in de aanbevelingen.
Als er al nog iemand op terugkomt, de politieke waan van de dag zal haar waarschijnlijk ruimschoots overstemmen.
Weer een ongewenst digitaal project erbij wat er moest komen en waar we niet meer vanaf komen.
.
24-09-2015, 15:25 door Anoniem
Net de 101 (!) pagina's van het rapport doorgenomen (tip hoofdstuk 2 is de management samenvatting, voor een eerste reactie volstaat dit). Helder beschreven en een duidelijk en overwogen verhaal.

Dat het op een template lijkt, tja dat staat ook in het rapport beschreven.

De genoemde risico'shebben alles te maken met privacy bescherming.ze raken daar de kern. Ter verduidelijking: geheimhouding is niet gelijk aan privacy. Privacybescherming in dit kader heeft te maken met de beschermende maatregelen, factoren en de restrisico's van die zaken die noodzakelijk zijn voor de werking van het systeem.

En @SPlid: inderdaad een stomme vraag. Lees de inleiding van het document.
24-09-2015, 15:27 door Preddie
Door SPlid: Misschien een stomme vraag : Welke onderzoekers , en dan meer expliciet : Door wie zijn ze betaald ?

De jaarplanning lijkt van het soort template met invulling van de hoofdstukjes .

In ieder geval is het rapport opgesteld door J.H. Matto (Partner-aandeelhouder) van MAZARS opgesteld in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Laatste alinea van paragraaf 1.1 in het document)

Even opletten geblazen, voordat eID vorm heeft gekregen heeft men de naam alweer veranderd, eID heet namelijk voortaan; Idensys (dit om iedereen maar even in de verwarring te brengen)

Overigens is de wijze van onderzoek ook vast gesteld door de overheid. Dus feitelijk betaald de ontwerper van het eID platform en bepaald deze tevens de methode waarmee onderzocht moet worden (Model PIA Overheid) waarna de scope is bepaalde door binnenlandse zaken in samenspraak met het ministerie van financien. Met andere woorden de onderzoekers of onderzoekers (wie dit ook mogen zijn) hebben vrijwel nul inbreng.

Nu komt misschien nog het meeste opmerkelijke;

"Het gebruik van BSN binnen het Private domein vereist aanpassingen in wet- en regelgeving. Deze aanpassingen zijn voorzien per 1 oktober 2015, maar bij het schrijven van deze PIA formeel nog niet afgerond en door het parlement bekrachtigd;"

Terwijl men feitelijk moet concluderen dat voor het gebruik van het BSN door de private domein geen wettelijke grondslag bestaat en dus onwettig is. Immers is het BSN niet ontworpen voor dergelijke gebruik en heeft men ten tijde van de introductie beloofd dat het BSN alleen voor overheids administraties gebruikt gaat worden.

En dat terwijl het rapport in de eerste pagina's het volgende schrijft, en het BSN toch een gegeven is dat de bescherming van de persoonlijke levenssfeer juist in gevaar kan brengen;

Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer2. Uit dit gebruik kunnen risico’s voor de persoonlijke levenssfeer (privacy) van de betrokkenen voortvloeien. Onzorgvuldigheid, onbetrouwbaarheid van gegevens, verlies van gegevens (data lekken), gegevens gebruiken voor een ander doel dan waarvoor ze zijn verkregen, kunnen een negatieve impact hebben op iemands sociaal en maatschappelijk welbevinden.


Dan vervolgens wordt de volgende conclusie getrokken;
in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn.

Volgens mij is dit toch een zwaarwegend bezwaar, zeker wanneer eID ook beoogd is te gebruiken voor bijv. een online drankwinkel.

Ik ben halverwege gestopt met lezen omdat voor een groot deel van de aannamens de grondslag mist of conclusie niet juist worden getrokken. Persoonlijk had ik niet verwacht dat een organisatie als Mazars zich op deze manier voor het karretje van de overheid heeft laten spannen.

Overigens is en blijft totaal onduidelijk wie de "onderzoekers" zijn. De enige naam die ik kan aantreffen is de van de schrijven J.H. Matto en deze beste man blijkt ook eerdere onderzoeksrapporten geschreven te hebben, Zie ook;

https://www.google.nl/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CDAQFjADahUKEwjOka6c4o_IAhXI1hQKHW8OCA4&url=http%3A%2F%2Fwww.eid-stelsel.nl%2Ffileadmin%2Feid%2Fdocumenten%2FPrivacy_impactanalyse_eID_Stelsel.pdf&usg=AFQjCNHhuH_nMZ47z5hNQfn0j9TdE29EhQ&bvm=bv.103388427,d.d24&cad=rja
24-09-2015, 15:50 door Anoniem
Je hoort het bij elke invoering: OV Chip Kaart kan niet gehackt worden, EPD, DiGID, RFID in je bankpas ID kaart of rijbewijs het is altijd 100% veilig en onhackbaar als het ingevoerd wordt. Want onderzoekers (die altijd niet bij naam worden genoemd) claimen dat het veilig is, tot mensen die out fo the box denken het tegendeel bewijzen.
24-09-2015, 16:38 door Anoniem
Als met dit eID bij zowel overheid als bij bedrijven kan worden ingelogd voor diverse zaken is dit systeem natuurlijk uitstekend te gebruiken voor het opbouwen van uitgebreide persoonlijke profielen van de gebruikers van dit systeem. Zowel overheidszaken, als alle andere zaken die je op het internet doet waarmee je inlogt via dit systeem.

Privacybestendig? Ik wist niet eens dat dit woord bestond. Privacyvriendelijk is dit systeem in ieder geval allesbehalve.

Ach; als de overheid weer voor de zoveelste keer blundert met een ICT project zal er toch niemand op worden afgerekend. Want zo gaat dat altijd bij de combinatie ICT/overheid.

Kent u deze nog? "De nieuwe OV-chipkaart is niet te kraken!"
Of Ton Elias (VVD); met zijn verzoek aan Microsoft (via Twitter): "DRINGEND VERZOEK aan Microsoft: wilt u mij niet meer tien keer per dag thuis laten bellen vanuit India voor marketingdoeleinden?"

Nee, liever geen eID.
24-09-2015, 16:40 door Preddie
Door Anoniem: Net de 101 (!) pagina's van het rapport doorgenomen (tip hoofdstuk 2 is de management samenvatting, voor een eerste reactie volstaat dit). Helder beschreven en een duidelijk en overwogen verhaal.

Dat het op een template lijkt, tja dat staat ook in het rapport beschreven.

De genoemde risico'shebben alles te maken met privacy bescherming.ze raken daar de kern. Ter verduidelijking: geheimhouding is niet gelijk aan privacy. Privacybescherming in dit kader heeft te maken met de beschermende maatregelen, factoren en de restrisico's van die zaken die noodzakelijk zijn voor de werking van het systeem.

En @SPlid: inderdaad een stomme vraag. Lees de inleiding van het document.

Euh, volgens mij heb je risico's met betrekking tot de privacy van de betrokkene en je hebt risico's met de betrekking tot de privacybescherming. Dit zijn verschillende zaken.

Maar hoe kan je een dergelijke conclusie trekken. Feitelijke staat; dit plan overschrijd de wet, daarom bevelen wij aan de wet aan te passen :/

Met andere woorden u rijd als overheid te hard, wij adviseren u de regels aan te passen zodat u met u huidige snelheid binnen de regels handelt?

Verder zie ik nergens een conclusie over het feit of het eID stelsel in potentie een inperking van bescherming van de persoonlijk levenssfeer zou kunnen zijn. Wanneer je de gegevens gaat vastleggen die een gebruiker identificeerbaar en traceerbaar maken is het antwoord hierop bijna in alle gevallen 'Ja' en zo de conclusie dus ook nooit gesteld kunnen zijn zoals nu is gedaan.
24-09-2015, 18:15 door [Account Verwijderd] - Bijgewerkt: 24-09-2015, 18:16
[Verwijderd]
25-09-2015, 01:41 door CrioWria - Bijgewerkt: 25-09-2015, 01:45
Door exit: Wie denkt dat privacy nog bestaat is niet van deze wereld.
Vrij onbeduidende gedachte, aangezien je toch echt zelf -nog altijd- heel veel aan kunt doen.

Voorbeelden te over. Begin bijvoorbeeld om geen DigiD -of zijn opvolger- te gebruiken, heb je echt niet nodig. En ja, onder andere de belastingdienst wil met zijn onvolledige brieven jouw dat hoekje induwen, maar 'n simpel telefoontje naar hun en je krijgt alsnog de benodigde gegevens.
25-09-2015, 07:47 door Anoniem
Door Predjuh:

Maar hoe kan je een dergelijke conclusie trekken. Feitelijke staat; dit plan overschrijd de wet, daarom bevelen wij aan de wet aan te passen :/

Met andere woorden u rijd als overheid te hard, wij adviseren u de regels aan te passen zodat u met u huidige snelheid binnen de regels handelt?

Het BSN mag alleen verwerkt worden indien hier een wettelijke grondslag voor is. Deze is er nog niet voor Idensys / eID. Logisch dat er een advies ligt om dit wettelijk te regelen.
Persoonlijk vraag ik mij altijd af of er een wettelijke grondslag is voor het correspondentienummer van brieven van de belastingdienst. Deze bevat het BSN aangevuld met enkele andere kenmerken.
25-09-2015, 08:08 door Anoniem
Zozo, het is PricavyBestendig... Ik had liever een opvolger gehad welke de privacy bevordert...
25-09-2015, 09:59 door Preddie
Door Anoniem:
Door Predjuh:

Maar hoe kan je een dergelijke conclusie trekken. Feitelijke staat; dit plan overschrijd de wet, daarom bevelen wij aan de wet aan te passen :/

Met andere woorden u rijd als overheid te hard, wij adviseren u de regels aan te passen zodat u met u huidige snelheid binnen de regels handelt?

Het BSN mag alleen verwerkt worden indien hier een wettelijke grondslag voor is. Deze is er nog niet voor Idensys / eID. Logisch dat er een advies ligt om dit wettelijk te regelen.
Persoonlijk vraag ik mij altijd af of er een wettelijke grondslag is voor het correspondentienummer van brieven van de belastingdienst. Deze bevat het BSN aangevuld met enkele andere kenmerken.

Tja, iets met een kip en een ei.

Als iets wettelijke niet is toestaan moet je dan het advies geven om de wet aan te passen of moet je dan het advies geven niet tot uitvoering over te gaan omdat het niet conform de wet is.

Wie het weet mag het zeggen...
25-09-2015, 16:37 door Anoniem
in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn.

Volgens mij is dit toch een zwaarwegend bezwaar, zeker wanneer eID ook beoogd is te gebruiken voor bijv. een online drankwinkel.
Een online drankwinkel zit toch zeker niet in het BSN domein. In het geval van een drankwinkel registreert dit BSN-Koppelregister dus geen inlogactie.
28-09-2015, 10:16 door Preddie
Door Anoniem:
in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisatie. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn.

Volgens mij is dit toch een zwaarwegend bezwaar, zeker wanneer eID ook beoogd is te gebruiken voor bijv. een online drankwinkel.
Een online drankwinkel zit toch zeker niet in het BSN domein. In het geval van een drankwinkel registreert dit BSN-Koppelregister dus geen inlogactie.

Private organisatie zonder uitvoering van een wettelijke taak zitten ook niet in het BSN domein. Vandaar dat men dit wil uitbreiden zodat er een wettelijk grondslag ontstaat om het BSN te verwerking in het kader van authenticatie op bijv een online slijterij.
28-09-2015, 11:19 door Anoniem
Wie de opdrachtgever is en door wie het betaald wordt zijn lang niet zulke interessante vragen als de vraag wat de gegeven opdracht was.
28-09-2015, 11:26 door FDK
Door Predjuh:
Private organisatie zonder uitvoering van een wettelijke taak zitten ook niet in het BSN domein. Vandaar dat men dit wil uitbreiden zodat er een wettelijk grondslag ontstaat om het BSN te verwerking in het kader van authenticatie op bijv een online slijterij.
Ik zie dat nergens staan in deze PIA. Waarop baseer je deze uitspraak?
28-09-2015, 13:42 door Preddie
Door FDK:
Door Predjuh:
Private organisaties zonder uitvoering van een wettelijke taak zitten ook niet in het BSN domein. Vandaar dat men dit wil uitbreiden zodat er een wettelijk grondslag ontstaat om het BSN te verwerking in het kader van authenticatie op bijv een online slijterij.
Ik zie dat nergens staan in deze PIA. Waarop baseer je deze uitspraak?

Dit staat ook niet in deze PIA maar in de wet. De schrijft voor dat je een BSN alleen maar verwerken als daar een wettelijke grondslag voor is, met andere woorden als in de wet expliciet beschreven staat dat je deze mag verwerken. In de wet staat o.a. genoemd dat de overheid het BSN mag of moet verwerken, dat zorginstellingen dit mogen/moeten en sommige andere organisatie die door de overheid zijn belegd met uitvoering van een wettelijke taak, zoals zorgverzekeraars.

Vandaar de aanbeveling 1) op pagina 11.

In deze PIA staat ook aangegeven dat bij het claimen van een identiteit o.a. wordt gedaan op basis van een BSN. Onder punt 9) op pagina 13 staat het volgende;

In het publieke deel, of beter gezegd in het BSN-domein geldt voor het BSN-Koppelregister een eigenschap dat van elke identificatie of inlogactie van een burger, ten minste vastgelegd wordt: het BSN, de Pseudo-identiteit én de Identiteit van de bezochte BSN-dienstverlenende organisaties. Het gevolg hiervan is dat centraal op één punt alle inlogacties van Burgers bij de websites van Dienstverleners in het BSN domein geregistreerd en dus zichtbaar zijn. Vanuit privacyoptiek is het BSN-Koppelregister een gevoelige verwerking van persoonsgegevens (hotspot). Dit verschijnsel is door het programma onderkend en er wordt voor het begin van 2016 een actie geformuleerd in overleg met de Toezichthouder.

Het vastleggen van dergelijk data, waar dan ook, heeft een negatieve impact op de privacy van betrokkenen.

Tevens is de kans groot dat oprekking voor het gebruik van data later wordt toegepast, precies zoals met het BSN is gebeurd. Namelijk eerst puur te vervanging van het sofinummer en mocht alleen gebruikt worden door de overheid. Dit kader is in een later stadium verder opgerekt en het is natuurlijk wachten tot het gebruik van data bij identiteitsmakelaars voor andere doeleinden gebruikt gaan worden. Sterker nog onder punt 12) staat ook aangegeven dat er nog hele niet gedacht is aan gebruik van data door bijv. Openbaar Ministerie en politiediensten.
05-10-2015, 14:25 door FDK
Door Predjuh:
Door FDK:
Door Predjuh:
Private organisaties zonder uitvoering van een wettelijke taak zitten ook niet in het BSN domein. Vandaar dat men dit wil uitbreiden zodat er een wettelijk grondslag ontstaat om het BSN te verwerking in het kader van authenticatie op bijv een online slijterij.
Ik zie dat nergens staan in deze PIA. Waarop baseer je deze uitspraak?

Dit staat ook niet in deze PIA maar in de wet. De schrijft voor dat je een BSN alleen maar verwerken als daar een wettelijke grondslag voor is, met andere woorden als in de wet expliciet beschreven staat dat je deze mag verwerken. In de wet staat o.a. genoemd dat de overheid het BSN mag of moet verwerken, dat zorginstellingen dit mogen/moeten en sommige andere organisatie die door de overheid zijn belegd met uitvoering van een wettelijke taak, zoals zorgverzekeraars.
....
Waarschijnlijk was mijn vraag niet duidelijk genoeg, dus een tweede poging. Waar staat dat men de regels wil uitbreiden zodat er een wettelijk grondslag ontstaat om het BSN te verwerking toe te staan in het kader van authenticatie op bijv een online slijterij? En waarom zou men dit willen doen? De slijterij heeft immers geen BSN nodig, slechts een betrouwbare indicatie ouder-dan-18.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.