Dit lijkt me dus het ergste wat je kan overkomen.
Dit zal dus steeds meer gebeuren omdat andere " zaken "door betere beveiliging en bewustwording moeilijker worden om geld aan te verdienen.
Daarom zeg ik zelf: geen justitie ruime mogelijkheden en bevoegdheden om dit ook aan te pakken.

De kop is volstrekt fout. Het aantal slachtoffers is niet bijna verdubbeld, het aantal meldingen is bijna verdubbeld. Maar dat maakt security.nl niet zo veel uit, want sensatie. Dat er meer sensatie kan zitten in het punt dat de cijfers over meldingen ver uit elkaar kunnen liggen en het aantal slachtoffers dus al jaren veel hoger dan de meldingen waarop de overheid stuurt doet er voor security.nl kennelijk ook niet toe.

De manier waarop de overheid nu "identiteit" doet is ongeveer net zo stuk als de PvdA-partijfilosofie of de D'66-relatie met democratie, alleen zijn er geen kiezers om het eindelijk hard af te straffen. Hier is innovatie broodnodig en ook heel goed mogelijk. Maarja, dan moet je wel willen, als overheid, en dat betekent iets anders dan op je dooie gemak morgen weer hetzelfde doen als gisteren.

Hearhear.

Bzk mid doet niet eens aan autenticatie. Ze hebben hier een funametele faal door het negeren van autenticatie na identiteit noemen.

Ze dragen uit dat het weten van een naam zo ook het bsn het bewijs is dat je de persoon bent. Electronic security geïnteresseerde weet dat je na het userid nog iets als pin of wachtwoord moet inregelen.

Jou bsn dat ben jij! Hun bij de overhijd kunne ut wete. Den helen tijd al dien krietiek op hun, me broek zak dr van af !!!

Je meet in dit geval natuurlijk altijd twee dingen, namelijk de hoeveelheid identiteitsfraude, maar ook de bereidheid om te melden en de bekendheid van het middel. De groei komt wel overeen met andere rapporten (zoals van het Centraal Bureau voor de Statistiek, enkele maanden geleden). Dat laat echter een veel groter aantal gevallen zien. Het preciese getal is me even ontschoten, maar uitgerekt over een gemiddelde levensverwachting kwam het er op neer dat statistisch gezien iedere Nederlander 2 of 3 keer mag verwachten 'aan de beurt' te zijn.

Dat is een fors probleem. Identiteitsfraude staat hoog op de lijst van nachtmerries, niet zozeer vanwege de financiële schade, maar vanwege de Kafkaeske toestanden waartoe het vaak leidt. Het loskoppelen als je het zo wil noemen van het slachtoffer worden en daarna nog een keer slachtoffer worden van de genoemde toestanden staat dan ook hoog op de prioriteitenlijst voor me. Maar even los daarvan speelt er nog iets. Hoewel het ook voorkomt dat mensen uit persoonlijk gewin aan identiteitsfraude doen, is de hoge vlucht naar we uit onderzoeken weten vooral vanwege de financiering van weinig frisse zaakjes. Drugshandel, kp-industrie, illegale wapenhandel, illegale ivoor- en andere goederenhandel, terrorisme. Een venijnig detail is dat mede daardoor veel van de onder de "veiligheid gaat voor privacy" identificatie veel erger is dan alleen maar een homeopatisch kwakzalversmiddel, het is als financieringsbron van een grootte waarvan de kwaadwillenden in hun stoutste dromen nooit aan hadden kunnen denken tegen de makers gekeerd...

Voorkomen heeft daarom een bijna net zo hoge prioriteit als een snelle genezing. We weten als professionals hoe we dat moeten doen. De kunst is om gehoor te krijgen. Zo maar een bloemlezing:
- Beperking. Allerlei nutteloze identificatie die er niet meer is, kan niet misbruikt worden.
- Compartimentering. Een van de grootste knelpunten is dat alles via (vaak volstrekt onbeveiligde) kopietjes paspoort gaat. Daarom kan een simpele autohuur leiden tot fraude met een bankrekening of mega aankoop aan de andere kant van de wereld. Dat maakt het zo kwetsbaar. Een breuk moet niet tot een totaal doorscheuren leiden. Dat heet fail safe.
- Doelbinding. Zoiets simpels als het over een kopie heenschrijven waar het voor is, is geen medicijn voor alle kwalen, maar in ieder geval is het al beter dan niets.
- Authenticatie vs. Autorisatie. Wat wil je bereiken. Dat je weet wie iemand is, of dat iemand bevoegd is tot gebruik van de dients? Het laatste kan volstrekt anoniem. Bovendien bewijst authenticatie niet autorisatie.
- Voor de zaken die er echt toe doen, het sterkste authenticatiemiddel en alleen het sterkste authenticatiemiddel. Het allersterkste middel dat ik ken is een fysieke smartcard met PIN passphrase (bijvoorbeeld 8 karakters alfanumeriek, miljoenen mogelijkheden en 3-5 kansen voor de kwaadwillenden, succes!), met daarop public-private keypairs gebaseerd op certificaten en onbreekbare encryptie. Het is niet onbreekbaar, maar het is een enorme bak werk en zeldzaam. Het is ook relatief gemakkelijk te vervangen (fail safe). Waarom klungelen we voor transacties en subsidies van tienduizenden euros of inkomen voor de rest van het leven met wachtwoordjes, publiek bekende getalletjes (BSN) en fotokopieën als we dergelijk krachtige middelen hebben?
Het kost wel wat. Maar het wordt het langzamerhand ook wel waard.

Voor de burger zou het al een tijdje een godsend zijn. Voor overheden niet.

Namelijk ze moeten dan hun hele werkwijze overhoop halen, heel hard nadenken bovendien (Ambtenaren), en een verlies van macht op de koop toenemen. Mischien leuk om nog even in herinnering te brengen dat identiteit en paspoorten oorspronkelijk ingevoerd zijn om politieke dissent te kunnen volgen en de kop in te drukken. Dat we ondertussen Nederland helemaal dichtgetimmerd hebben zodat je niets kan als je niet met je identiteit metaforisch op je voorhoofd rondloopt is slechts een uitvloeisel.

Daarom moet je de identificatie ofwel de bewering wie het gaat (identificatie) niet door elkaar gaan gooien met het bewijs dat hij dat ook is (autenticatie). Een kopietje paspoort weten van een bsn is geen autenticatie.
Het user-id is niet het zelfde als het wachtwoord ...