image

QR-code gaat BSN op paspoort en identiteitskaart vervangen

donderdag 28 maart 2019, 09:42 door Redactie, 35 reacties

Het burgerservicenummer (BSN) dat nu nog op de voorkant van de houderpagina van het paspoort staat wordt over twee jaar vervangen door een QR-code, die op de achterkant van de pagina geplaatst zal worden. Ook bij de identiteitskaart wordt het BSN vervangen door een QR-code op de achterkant.

Dat heeft staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten (pdf). Vorig jaar september maakte Knops al bekend dat het BSN naar de achterkant van de houderpagina van het paspoort zou verdwijnen. Op deze manier moet identiteitsfraude worden tegengegaan.

"De huidige plaatsing leidt tot extra handelingen voor de burger; die moet nu steeds het BSN doorstrepen wanneer een kopie van het paspoort moet worden ingeleverd bij een instantie die het BSN niet mag verwerken. Daarom heb ik in de afgelopen periode onderzocht welke oplossingen er zijn om het BSN op de achterzijde van de houderpagina van het paspoort automatisch uitleesbaar te maken en weg te halen uit de machine leesbare strook op de voorzijde van de houderpagina", stelde Knops afgelopen september.

Nu meldt de staatssecretaris dat het BSN met een QR-code automatisch uitleesbaar wordt op de achterzijde van de houderpagina van paspoorten en identiteitskaarten. "Hierdoor is het BSN niet meer aanwezig en kopieerbaar op de voorzijde van de houderpagina van het paspoort", schrijft Knops. Verschillende instanties lieten Knops weten dat ze ongeveer 2 jaar de tijd nodig hebben om de aanpassing in binnen hun processen te verwerken. Daarnaast is de Autoriteit Persoonsgegevens gevraagd om het plan te beoordelen. In september verwacht Knops dat de precieze datum bekend is wanneer het BSN uit de machineleesbare zone van paspoorten en identiteitskaarten wordt gehaald.

Reacties (35)
28-03-2019, 09:55 door Anoniem
Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?

Waarschijnlijk gooien ze er dan een salt overheen op basis van documentnr oid maar ook dat algorithme zal op korte termijn gekraakt worden..

Al met al gaan we nu weer dure investeringen doen zonder iets op te lossen.. althans.. daar lijkt het op.
28-03-2019, 10:06 door Anoniem
Dit is wel weer een mooi voorbeeld van "net niet".

Je SoFi/BSN staat al twee keer op dat stuk plastic: Een keer onder "BSN" en een keer in het "machine-leesbare deel", die strip met veel "<"-tekens erin, gezet in OCR-B, een lettertype gemaakt om goed ge-OCRd te worden. En dan natuurlijk nog een derde keertje in die RFID/NFC-chip zodat apparaten het ook zonder openen van het paspoortboekje kunnen lezen. Want bij ons zit er natuurlijk geen rf-schild in de kaft, wat er in de VS bijvoorbeeld wél in zit. (Heel die chip zit er ook alleen maar in ten bate van de VS, dus waarom ik geen chiploos paspoort màg of zelfs kàn aanvragen ontgaat me even. Eurologica.) Best een aantal mensen hebben overigens zo'n lezer thuis, los of ingebouwd in hun telefoon, want de data-overdracht gebruikt precies dezelfde techniek als de ov-chipkaart, zelfs dezelfde ISO-standaard.

Dus je zou die strip met OCR-B lettertjes naar de achterkant kunnen verplaatsen, en het SoFi/BSN ook. En dan ben je er, plusminus het RFID/NFC-verhaal. Waarom dan een QR-code? Zodat onnozelen denken dat "het veiliger is" terwijl iedereen met een smartphone, tablet, of ander apparaat met camera en een stukje QR-lees-software, het ook zo kan uitlezen? Hoezo is dat een verbetering?

Lijkt me heel leerzaam als de staatssecretaris deze toch wel licht waanzinnige gedachtengang eens publiekelijk uiteenzet.
28-03-2019, 10:07 door Anoniem
Nu nog een app die de QR tag automatisch vervangt door een zwart valk, wanneer men ook een kopie van de achterkant verlangt. Dat gebeurt voor zover ik weet ook nog wel eens.
28-03-2019, 10:08 door Anoniem
Dit helpt ook echt, want scansoftware die digitale kopieën maakt zou geen QR code kunnen ontcijferen?

Dit is geen oplossing maar een wassen neus.
28-03-2019, 10:11 door Anoniem
https://en.wikipedia.org/wiki/QR_code#Risks
Kunnen ze niet gewoon hexadecimaal gebruiken om het BSN onleesbaar te maken voor criminelen?
28-03-2019, 10:23 door Anoniem
Door Anoniem: Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?
Er staat niet dat er niet gefraudeerd kan worden met een QR-code. De wijziging dient twee doelen, niet een.

Voor de fraudegevoeligheid is het punt dat het BSN van de voorkant van de houderpagina naar de achterkant verdwijnt. Dan staat het niet meer op kopieën die van de voorkant worden gemaakt. Dat is zeker geen waterdichte bescherming maar blokkeert in de praktijk waarschijnlijk het leeuwendeel van de BSNs die op plekken terecht komen waar ze niet thuishoren, en dat verkleint de kans op misbruik.

De QR-code dient voor het automatisch uitlezen. Het zal betrouwbaarder zijn dan met OCR, QR heeft foutcorrectie ingebouwd.
28-03-2019, 10:40 door Anoniem
Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?

Dan moet je daar *wel* de gelegenheid toegeven. Indien de QR-code niet staat op de pagina die men kopieert, dan kan men daar ook niets mee. Voor niet overheids instanties is er geen enkele reden om :

A) Te investeren in de technische mogelijkheden om de QR code uit te lezen
B) De pagina met de QR code te kopieren / uit te lezen

Het wordt lastiger, om de BSN te kopieren, en het staat niet meer op de te kopieren pagina. Goede ontwikkeling.
28-03-2019, 10:43 door Anoniem
Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?
28-03-2019, 11:40 door Anoniem
Beste Staatssecretaris, lees even hieronder.
Het lijkt mij handiger om de QR-code te versleutelen. Het eenvoudig kopiëren door een kwaadwillende partij behoort dan meteen ook tot het verleden. Hierdoor kunnen alleen overheden, en anderen die echt gemachtigd zijn, bij het BSN komen.
28-03-2019, 12:03 door Bitwiper
Staatssecretaris Knops afgelopen september: De huidige plaatsing leidt tot extra handelingen voor de burger; die moet nu steeds het BSN doorstrepen wanneer een kopie van het paspoort moet worden ingeleverd bij een instantie die het BSN niet mag verwerken.
Het probleem is niet de plaatsing van het BSN, maar de onverklaarbare en niet uit te roeien denkfout dat je een BSN geheim kunt houden en zo kunt voorkomen dat identiteitsfraude wordt gepleegd - door kwaadwillenden die dat BSN in handen hebben gekregen. De door onze (dus onbetrouwbare) overheid gemaakte fout is dat zij volhoudt dat het kennen van een BSN bewijst dat jij de eigenaar bent van dat BSN.

Door Anoniem: Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?
Je zou voor elk BSN een uniek sleutelpaar kunnen genereren, het betreffende BSN versleutelen met de public key en die public key samen met het resultaat van de versleuteling in de QR-code kunnen opnemen. Als je vervolgens alleen organisaties die het BSN mogen verwerken, toegang geeft tot de bijbehorende private key (beter: tot een centrale veilige omgeving waar private keys nooit uit mogen, maar wel het resultaat van berekeningen daarmee), kunnen alleen zij het BSN uit de QR-code afleiden. Maar het probleem blijft dat je dan alle medewerkers met toegang tot BSNs bij dat soort otganisaties moet vertrouwen en moet hopen dat zij hun IB verder perfect op orde hebben.

Maar ik vermoed hier gewoon security by obscurity, ofwel het BSN gewoon leesbaar met een QR-code lezer, of versleuteling met een algemene sleutel - die vermoedelijk binnen de kortste keren in verkeerde handen valt.

Door Anoniem: Waarschijnlijk gooien ze er dan een salt overheen op basis van documentnr oid maar ook dat algorithme zal op korte termijn gekraakt worden..
Zo'n aanpak lijkt mij inderdaad zinloos.

Een BSN zou op dezelfde manier behandeld moeten worden als NAW-gegevens (die zijn vaak ook uniek identificerend). Authenticatie is iets heel anders; kennis van dat soort gegevens (en/of geboortedatum, meisjesnaam van de moeder etc.) is steeds waardelozer (doordat steeds meer partijen dat soort informatie verzamelen en lekken) bewijs dat jij de betreffende persoon bent.

Conclusie: we hebben een digitaal identiteitsbewijs nodig. Overheid, waar blijft dit?
28-03-2019, 12:21 door karma4
Door Bitwiper: ..
Een BSN zou op dezelfde manier behandeld moeten worden als NAW-gegevens (die zijn vaak ook uniek identificerend). Authenticatie is iets heel anders; ..
Conclusie: we hebben een digitaal identiteitsbewijs nodig. Overheid, waar blijft dit?

Gewoon het BSN als NAW zien betekent dat het niet autenticerend is.
Daarmee is elke reden om het iets wat je geheim moet zien te houden duidelijk onzin.
Nu moet nog dat kwartje vallen bij politici en privacy voorvechters. Helaas zijn de kwartjes afgeschaft.
28-03-2019, 13:01 door SPer
Door Anoniem: Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?

Waarschijnlijk gooien ze er dan een salt overheen op basis van documentnr oid maar ook dat algorithme zal op korte termijn gekraakt worden..

Al met al gaan we nu weer dure investeringen doen zonder iets op te lossen.. althans.. daar lijkt het op.

Zover ik het begrijp wordt er helemaal niets versleuteld, maar verdwijnt het BS nummer gewoon naar de achterzijde van pagina 1 (daar staat het al) als QR code
28-03-2019, 13:03 door Anoniem
Een van de veilige manier om je BSN te beschermen, door dat je er een push bericht krijgt als er je BSN op een overheid website is opgegeven/gebruikt.

Als je zelf dit niet gedaan heb, dan kun je de Push negeren. Daardoor overheid website krijgt een geweigerde melding. Dus automatische wat ook de aanvraag was, wordt dan niet behandeld.

Mvg,
Fraidon N
28-03-2019, 13:04 door SPer
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?
Rijbewijs en een miljoen andere plaatsen.
28-03-2019, 13:52 door Anoniem
Door Bitwiper:
Het probleem is niet de plaatsing van het BSN, maar de onverklaarbare en niet uit te roeien denkfout dat je een BSN geheim kunt houden en zo kunt voorkomen dat identiteitsfraude wordt gepleegd - door kwaadwillenden die dat BSN in handen hebben gekregen. De door onze (dus onbetrouwbare) overheid gemaakte fout is dat zij volhoudt dat het kennen van een BSN bewijst dat jij de eigenaar bent van dat BSN.
Hear! Hear! Iemand die het begrepen heeft!

Daarom vond de toenmalig verantwoordelijke ambtenaar een openbaar register met alle BSN een goed idee:
1) Je kunt controleren of het BSN wel geldig is, en uitgegeven
2) je maakt duidelijk, dat een BSN geen speciaal persoonsgegeven is (zie AVG!)

Zo'n register had er wel voor gezorgd, dat iedereen zou zeggen "Ja, een BSN kan ik ook opnoemen, maar dat zegt niks. Laat nu maar een identiteitsbewijs zien!"

Je BSN is NIET identificerend, de koppeling met NAW doet dat pas (en koppelen is aan wettelijke regels gebonden).
28-03-2019, 14:47 door Anoniem
Door SPer:
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?
Rijbewijs en een miljoen andere plaatsen.

Met je QR scanner van je smartphone, die hem dan gelijk op darkweb post omdat je zonodig de gratis versie van de qr-scanner wilde installeren ipv er voor wilde betalen ;-)

.......................__ ............
......<ROFL ROFL ROFL ROFL>.
........................| |...........
................... __\||/____......
.\\...............|'-|--| .\\....\.....
..\ \_...........|--|---|..\\ ....\....
../ L \____,/-------\___\___\
.|LOL|-------------O----- ----,\..
..\ L /______,---''-----------, /...
../ /.............\_________ ,/....
.//.............____//___ __\\__/.
28-03-2019, 15:19 door Anoniem
Door SPer:
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?
Rijbewijs en een miljoen andere plaatsen.

De QR-code (waarschijnlijk niet versleuteld) en in ieder geval in de OCR-regel. Die blijft bestaan.
28-03-2019, 15:22 door Briolet
Door Anoniem: Ik heb hier direct mijn vraagtekens bij. Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?

Dat staat duidelijk in het artikel: De QR code komt niet meer op een kopietje te staan.

Door Bitwiper: …Maar ik vermoed hier gewoon security by obscurity, ofwel het BSN gewoon leesbaar met een QR-code lezer, of versleuteling met een algemene sleutel - die vermoedelijk binnen de kortste keren in verkeerde handen valt.

Jouw "security by obscurity" is er gewoon omdat het nu op de achterkant staat en niet meer meegekopieerd wordt. En niet vanwege het lastiger lezen door een mens.
28-03-2019, 16:14 door Anoniem
Door Anoniem:
Door SPer:
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?
Rijbewijs en een miljoen andere plaatsen.

De QR-code (waarschijnlijk niet versleuteld) en in ieder geval in de OCR-regel. Die blijft bestaan.

Lezen:
"Hierdoor is het BSN niet meer aanwezig en kopieerbaar op de voorzijde van de houderpagina van het paspoort", schrijft Knops.

Peter
28-03-2019, 18:59 door Anoniem
Door Anoniem: Lezen:
"Hierdoor is het BSN niet meer aanwezig en kopieerbaar op de voorzijde van de houderpagina van het paspoort", schrijft Knops.

Peter
Daar heb je dus nog steeds geen QR-code voor nodig: Gewoon die "Machine Readable Zone" naar de achterkant verplaatsen, en klaar.

Ga je die regel in een QR-code verstoppen ben je eigenlijk gewoon achterbaks tegenover je burger. "Hij is weg hoor! Nouja je kan hem zelf niet meer lezen maar je telefoon nog wel." Ik zie echt niet wat de toegevoegde waarde van die QR-code is, dus realiteitshalve neem ik aan dat het de zoveelste ronde technogefap is van de afdeling ambtelijke burgerhaat in plastic, ook bekend als de spirituele erfgenamen van Jacobus Lambertus Lentz.
28-03-2019, 20:40 door Anoniem
Gaat er nog de optie komen om het BSN te veranderen zoals door de PiratenPartij voorgesteld? Bijvoorbeeld Casus 1) Identiteitsfraude en Casus 2) Internationaal Reizen en kopieren door landen waar andere wetten gelden en Casus 3) een AIVD/MIVD informant die in gevaar komt omdat ze gelekt hebben uit de kluis maar geen verantwoordelijkheid nemen om bronnen te beschermen.

Het kunnen wijigen van BSN is heel fijn. Je kunt wel je geslacht veranderen in een X dus waarom is de BSN statisch?

Gaat de BSN wel naar de 2de pagina verhuizen i.v.m. Casus 2 geval waar veel Nederlanders over hebben geklaagd?

Oplossingen nu het nog kan of toch een civiele procedure (het nadeel van rechtzaken is dat alles openbaar is in de zoekmachine van Rechtspraak).
28-03-2019, 23:45 door Anoniem
Door Anoniem: Gaat er nog de optie komen om het BSN te veranderen zoals door de PiratenPartij voorgestelt?
Met een voorkeursnummer? Bijvoorbeeld "1", want dat kan ik tenminste onthouden.
29-03-2019, 06:27 door Bitwiper - Bijgewerkt: 29-03-2019, 06:29
Door Anoniem: Je BSN is NIET identificerend
Daar ben ik het niet mee eens.

De accountnaam "Bitwiper" op security.nl is een identificerend gegeven - zelfs wereldwijd uniek. Je kunt daar ook een getal van maken door een bepaalde conventie te kiezen, bijv. de ASCII waardes van Bitwiper#security.nl achter elkaar te zetten, waarmee ook dat een uniek identificerend gegeven is.

Een serienummer op een digitaal certificaat en op een harddisk zijn ook identificerende gegevens (de combinatie met resp. certificaatuitgever en merk+type harddisk maakt ze wereldwijd uniek). Of je deze aan een NAW kunt koppelen is irrelevant.

Waarom zou een kaal BSN dan geen identificerend gegeven zijn?

Door Anoniem: Je BSN is NIET identificerend, de koppeling met NAW doet dat pas (en koppelen is aan wettelijke regels gebonden).
De koppeling met een e-mail adres, een telefoonnummer of een bankrekeningnummer is, neem ik aan, aan dezelfde regels gebonden. Voor de verwerking van gegevens van een burger zijn aanvullende gegevens (naast dat BSN) pas relevant als ze ergens voor nodig zijn, bijv. om een belastingaanslag per post te kunnen versturen.

Kortom, een BSN is een identificerend gegeven, een handige alias omdat het (in NL) uniek is en uit een relatief klein aantal karakters bestaat

Het risico van het geheim proberen te houden van een BSN (bijv. door dit te verstoppen op een identiteitsbewijs) en te verbieden dat potentieel onbetrouwbare organisaties kennis nemen van BSN's en deze opslaan (al dan niet in combinatie met andere identificerende gegevens zoals bereikbaarheidsinformatie en/of geboortedatum, geslacht, geloofsovertuiging, politieke voorkeur etc). is dat er meer mensen zullen komen die denken dat als jij jouw BSN kunt noemen (telefoon, brief, e-mail, website, balie) jij jij wel moet zijn.

Nogmaals, het is bezopen om een BSN als een shared secret te behandelen: dat doen werkt juist identiteitsfraude in de hand. Misschien is het een goed idee als we allemaal ons BSN op Facebook publiceren ("helaas" heb ik geen Facebook account).
29-03-2019, 07:32 door Anoniem
Door Bitwiper: Het probleem is niet de plaatsing van het BSN, maar de onverklaarbare en niet uit te roeien denkfout dat je een BSN geheim kunt houden en zo kunt voorkomen dat identiteitsfraude wordt gepleegd - door kwaadwillenden die dat BSN in handen hebben gekregen. De door onze (dus onbetrouwbare) overheid gemaakte fout is dat zij volhoudt dat het kennen van een BSN bewijst dat jij de eigenaar bent van dat BSN.
Dat hele gedoe rond het voorkomen dat BSN's verspreid raken gebeurt niet vanuit de onjuiste gedachte bij de beleidsmakers van de overheid dat het BSN een bewijs van identiteit zou zijn, maar vanuit het juiste inzicht dat misbruik mogelijk is omdat de praktijk weerbarstig is en de samenleving er verre van perfect mee omgaat.

Als je dat snapt zou het toch niet heel moeilijk moeten zijn om te begrijpen dat elk BSN dat rondslingert op allerlei plaatsen waar het eigenlijk niet nodig is een verhoogde kans loopt in handen te komen van iemand die er misbruik van wil maken en die handig genoeg is om iemand erin te laten trappen. Het zoveel mogelijk afremmen van de verspreiding van BSN's is een maatregel die de kans op ellende verkleint.

De ellende komt ook echt niet alleen bij de overheid vandaan. Een geval dat op deze site met enige regelmaat wordt aangehaald is van iemand die op een camping in Turkije of zoiets een kopie van zijn paspoort heeft laten maken om later te ontdekken dat met die kopie, voorzien van een andere pasfoto, huizen werden gehuurd om wiet in te kweken. De huiseigenaren die de identiteit van de huurder niet goed hebben gecontroleerd zijn geen overheid. De incassobureaus die ze inschakelen om verhaal te halen zijn geen overheid. En wie moet een rechter geloven als een verhuurder zegt zelf die scan te hebben gemaakt en echt goed naar de pasfoto te hebben gekeken terwijl de aangeklaagde dat ontkent? In dit voorbeeld was het overduidelijk dat de pasfoto niet kon kloppen en het slachtoffer van identiteitsfraude kreeg — na veel ellende — uiteindelijk gelijk, maar dat wordt een stuk lastiger als een scan misbruikt wordt waar niets aan is veranderd.

En hoe moeten medici en apotheken omgaan met kennelijke spoedgevallen waarbij iemand zijn identiteit niet keihard kan aantonen? Een spoedgeval de deur wijzen en maar laten creperen?

De maatschappij is geen computersysteem. Mensen doen van alles dat niet logisch of deterministisch of zuiver op de graat is. Het is achteraf helemaal niet zo eenvoudig vast te stellen wat er nou werkelijk gebeurd is. Daarom kan je niet uitsluiten dat er dingen fout gaan, dat criminelen dingen misbruiken en dat anderen er veel te makkelijk intrappen, en dat die zich vervolgens helemaal niet zo makkelijk laten overtuigen dat het enige lijntje dat ze hebben naar schadevergoeding ook al niet deugt. Omdat iemand die daar later over moet oordelen geen gedachten kan lezen is het onvermijdelijk dat de ontstane ellende niet altijd als sneeuw voor de zon weer verdwijnt.

De oproep en de maatregelen om een BSN zo veel mogelijk geheim te houden en zo min mogelijk kopietjes van identiteitsbewijzen rond te strooien zijn er omdat de gebreken van de werkelijkheid onder ogen worden gezien, niet omdat men denkt dat die maatregelen de ultieme perfectie zijn en ook niet omdat men denkt dat een BSN een mathematisch bewijs van iemands identiteit vormt. Als je dat ervan maakt dan mis je compleet waar het over gaat.

Jij lijkt in het soort zwartwitdenken te zitten dat een BSN dat eenmaal "ontsnapt" is zich meteen onstuitbaar verder verspreidt en dat alle maatregelen dus zinloos zijn. Voor een aandachttrekkende foto op Twitter geldt zoiets, en als je gegevens eenmaal in databases van criminele organisaties zitten is het ook vrij hopeloos. Maar als jij zoveel mogelijk voorkomt dat je BSN terecht komt bij hotels, campings, verhuurders en dergelijke dan verklein je ook de kans dat door een beveiligingslek of een malafide employee je gegevens in zo'n circuit belanden. Daar gaat het over. Of dat goed genoeg is voor de lange termijn betwijfel ik, maar in de situatie zoals die nu is is dat geen slecht idee. En die verander je niet in tien minuten, dat is langetermijnwerk.
29-03-2019, 09:31 door Anoniem
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?

Inloggen op mijn overheid met je Digid :)
29-03-2019, 10:04 door Anoniem
Door Anoniem:
Door Bitwiper: Het probleem is niet de plaatsing van het BSN, maar de onverklaarbare en niet uit te roeien denkfout dat je een BSN geheim kunt houden en zo kunt voorkomen dat identiteitsfraude wordt gepleegd - door kwaadwillenden die dat BSN in handen hebben gekregen. De door onze (dus onbetrouwbare) overheid gemaakte fout is dat zij volhoudt dat het kennen van een BSN bewijst dat jij de eigenaar bent van dat BSN.
Dat hele gedoe rond het voorkomen dat BSN's verspreid raken gebeurt niet vanuit de onjuiste gedachte bij de beleidsmakers van de overheid dat het BSN een bewijs van identiteit zou zijn, maar vanuit het juiste inzicht dat misbruik mogelijk is omdat de praktijk weerbarstig is en de samenleving er verre van perfect mee omgaat.
Ha, geef de burger maar weer de schuld. Als beleidsmaker had je op je vingers kunnen natellen dat als je een nummer introduceert omdat het zo vreselijk handig is, dat dan meer mensen denken "oh nou dan gebruiken wij het ook maar". Dat doet de overheid zelf ook, zie SoFi->BSN en nog wat oprekkingen. De regelgeving eromheen helpt ook niet: Soms MOET je je persoonsnummer geven, en soms MAG je het NIET. En dat is geen simpel lijstje. Hetzelfde met kopietjes legitimasie, maar dat lijstje is natuurlijk wel net even anders en zelfs nog een stukje ingewikkelder.

Dus als burger MOET je een hele riedel aan nodeloos ingewikkelde regeltjes kennen, die regelmatig veranderen bovendien, voor iets dat je werkelijk aan je reet kan roesten. Totdat er ineens fraude mee blijkt te zijn gepleegd, wist jij veel. Het geheel is dus voor de burger gewoon niet practisch, een situatie die toch echt door beleidsmakers is opgetuigd.

We hebben dus een situatie die ingewikkeld is en weinig anders doet dan de burger afleiden van z'n dagelijkse ding doen zonder direct voordeel. Maar je moet het doen want anders ben je later mischien de sjaak. En ook als je het wel doet ben je later mischien de sjaak. Ja wat is het nou? De correcte karakterisering hiervoor is "slecht beleid".

Als je dat snapt zou het toch niet heel moeilijk moeten zijn om te begrijpen dat elk BSN dat rondslingert op allerlei plaatsen waar het eigenlijk niet nodig is een verhoogde kans loopt in handen te komen van iemand die er misbruik van wil maken en die handig genoeg is om iemand erin te laten trappen. Het zoveel mogelijk afremmen van de verspreiding van BSN's is een maatregel die de kans op ellende verkleint.
Dat is wel zo, maar het zijn wel druppels op de gloeiende plaat, en vanuit onbegrip danwel een weigering toe te geven dat de situatie door de overheid opgezet en gefaciliteerd is. Door zelf geen oog te hebben wat de burger practisch zou gaan doen, maar alleen maar oog te hebben voor de eigen waanwereld en de blinde aanname dat iedereen zich precies aan alle regeltjes zou houden. Dat is Ambtenarenwerk, burgers hebben wel wat beters te doen. De regelgeving is daar niet robuust op, en dan zeg ik toch echt: De regelgeving is de root cause.

De ellende komt ook echt niet alleen bij de overheid vandaan. Een geval dat op deze site met enige regelmaat wordt aangehaald is van iemand die op een camping in Turkije of zoiets een kopie van zijn paspoort heeft laten maken om later te ontdekken dat met die kopie, voorzien van een andere pasfoto, huizen werden gehuurd om wiet in te kweken. De huiseigenaren die de identiteit van de huurder niet goed hebben gecontroleerd zijn geen overheid.
Nou en? Wat koop je nou helemaal voor die "identiteit"? Aangezien regelmatig blijkt dat terroristen meer dan een dozijn van die "identiteiten" op zak hebben. Voor criminelen is er kennelijk geen probleem om zich te verschuilen. Dan kun je beter niet om "identiteit" vragen en toegeven dat je dat niet weet. In plaats daarvan vraag je dan een borg ofzo.

De incassobureaus die ze inschakelen om verhaal te halen zijn geen overheid.
Die dus alleen maar kunnen werken zolang hun doelwitten zich buiten dat ene betalingsprobleempje aan de regeltjes houden. Iets wat vrij zeldzaam is bij werkelijke criminelen. Door dus iedereen op "identiteit" vast te proberen te pinnen hou je jezelf voor de gek en werk je zelfs criminaliteit in de hand, namelijk identiteitsfraude.

Dit is hetzelfde principe als dat een vals gevoel van veiligheid erger is dan onveilig zijn en het toegeven.

En wie moet een rechter geloven als een verhuurder zegt zelf die scan te hebben gemaakt en echt goed naar de pasfoto te hebben gekeken terwijl de aangeklaagde dat ontkent? In dit voorbeeld was het overduidelijk dat de pasfoto niet kon kloppen en het slachtoffer van identiteitsfraude kreeg — na veel ellende — uiteindelijk gelijk, maar dat wordt een stuk lastiger als een scan misbruikt wordt waar niets aan is veranderd.
Dan was dus iedereen* beter af geweest zonder die scan. Het slachtoffer omdat'ie buiten beeld was, maar de verhuurder ook: Die wist dan dat'ie zonder deze schijnzekerheid zat en zal dus iets anders hebben moeten verzinnen. En de rechter ook, scheelt weer een hoop geprocedeer tegen iemand die onschuldig bleek.

* Hopelijk iedereen behalve de crimineel, al naar gelang wat de verhuurder dan verzonnen had.

En hoe moeten medici en apotheken omgaan met kennelijke spoedgevallen waarbij iemand zijn identiteit niet keihard kan aantonen? Een spoedgeval de deur wijzen en maar laten creperen?
Mijn persoonlijke voorkeur is om (de betaling van) de zorg niet van "identiteit" afhankelijk te maken. Dat is die nu wel, en dat is een bij-effect van de wens een verzekeraarskartel te spekken. Laten we daar ook maar mee ophouden.

(De belangrijkste medische gegevens kun je altijd nog op een gestandaardiseerde dog tag zetten, waar patienten met relevante condities voor kunnen kiezen die te dragen.)

De maatschappij is geen computersysteem. Mensen doen van alles dat niet logisch of deterministisch of zuiver op de graat is. Het is achteraf helemaal niet zo eenvoudig vast te stellen wat er nou werkelijk gebeurd is. Daarom kan je niet uitsluiten dat er dingen fout gaan, dat criminelen dingen misbruiken en dat anderen er veel te makkelijk intrappen, en dat die zich vervolgens helemaal niet zo makkelijk laten overtuigen dat het enige lijntje dat ze hebben naar schadevergoeding ook al niet deugt. Omdat iemand die daar later over moet oordelen geen gedachten kan lezen is het onvermijdelijk dat de ontstane ellende niet altijd als sneeuw voor de zon weer verdwijnt.
Dit is allemaal bekend, maar de overheid negeert het keer op keer. Dat lijkt, nee, is, wat mij betreft een tekortkoming van het beleid en dus de beleidsmakers. Ik denk dan ook dat daar heel veel beter kan.

De oproep en de maatregelen om een BSN zo veel mogelijk geheim te houden en zo min mogelijk kopietjes van identiteitsbewijzen rond te strooien zijn er omdat de gebreken van de werkelijkheid onder ogen worden gezien, niet omdat men denkt dat die maatregelen de ultieme perfectie zijn en ook niet omdat men denkt dat een BSN een mathematisch bewijs van iemands identiteit vormt. Als je dat ervan maakt dan mis je compleet waar het over gaat.
Okee, niet mee oneens. Nouja, meer omdat de werkelijkheid recht in hun gezicht ontploft; dat er iets mis was wisten wel al even. Zeggens al vanaf voor de invoering. Daar was dus echt ruimte om het beter te doen, en dat proberen ze nu pas.

Maar ik denk wel dat de maatregelen nog steeds veel te weinig en veel te laat zijn, en niet geboren uit werkelijk inzicht. Ze zijn meer een soort "nou we hebben maar weer eens wat gedaan, hou dus nu maar op met zeuren, burger". Een zoethoudertje, niet een echte oplossing.

Jij lijkt in het soort zwartwitdenken te zitten dat een BSN dat eenmaal "ontsnapt" is zich meteen onstuitbaar verder verspreidt en dat alle maatregelen dus zinloos zijn.
Dat eerste is wel de natuur van datalekken. Dat tweede... nee, maar je moet met voldoende maatregelen komen. Wat mij betreft is wat ze nu doen niet voldoende en dat kunnen ze weten. In plaats daarvan zie ik een afleidingsmaneuvre met een verder niet ter zake doende "QR code".

Voor een aandachttrekkende foto op Twitter geldt zoiets, en als je gegevens eenmaal in databases van criminele organisaties zitten is het ook vrij hopeloos. Maar als jij zoveel mogelijk voorkomt dat je BSN terecht komt bij hotels, campings, verhuurders en dergelijke dan verklein je ook de kans dat door een beveiligingslek of een malafide employee je gegevens in zo'n circuit belanden.
Dus de kraan staat open en je draait hem een stukje dicht. De boel stroomt nog steeds over, maar langzamer dan voorheen. Probleem is dat dat op de lange termijn niet werkt.

Daar gaat het over. Of dat goed genoeg is voor de lange termijn betwijfel ik, maar in de situatie zoals die nu is is dat geen slecht idee. En die verander je niet in tien minuten, dat is langetermijnwerk.
Het is vast heel flauw maar al bij invoering van het SoFi-nummer was er heibel omdat dit soort dingen konden gebeuren, en bij het omkatten van SoFi-nummer naar BSN weer. En op zoveel momenten meer.

"De beste tijd om een boom te planten is twintig jaar terug. De eennabeste tijd is nu."

Je hebt best gelijk dat het beter is dat ze nu iets doen. Maar aan de andere kant, twintig jaar terug hebben ze die kans echt wel gehad. Dat ze daar dus nu op afgerekend worden is niet meer dan terecht. En ik zie nog steeds niet dat ze er wat van geleerd hebben.
29-03-2019, 13:55 door Anoniem
Tja, de nazi’s hebben, in extremis dan, toch nog de oorlog gewonnen, wordt er soms beetje cynisch lacherig gezegd. Want, geef toe, al die speciale ideetjes zijn toch van hen afkomstig of door hen uitgevonden he.
En stem maar liefst op de 'klein beetje juiste partijen' nu het nog kan, want die vreselijke globalisatie tycoons van 'alles van eigen cultuur moet kaputt' liggen op de loer, en dat belooft niets goeds, brr.
https://www.dutchcowboys.nl/cybercrime/bsn-op-paspoort-wordt-vervangen-door-qr-code
https://www.ad.nl/tech/paspoort-en-identiteitsbewijs-krijgen-qr-code-op-achterkant~a8bb6505/
https://www.nu.nl/internet/5813799/kabinet-wil-bsn-op-paspoort-vervangen-door-qr-code-op-achterkant.html
https://drimble.nl/dossiers/overheid/58959950/qr-code-vervangt-bsn-op-paspoort-en-identiteitskaart.html
•Ook in België zijn ze er al mee begonnen:…:
https://www.knack.be/nieuws/belgie/vanaf-april-2019-vingerafdrukken-op-identiteitskaart/article-normal-1282599.html
https://www.knack.be/nieuws/belgie/geef-de-overheid-je-vinger-afdrukken-neemt-ze-zeker-de-hele-hand/article-opinion-1295321.html?cookie_check=1553861545
https://www.nieuwsblad.be/cnt/dmf20180117_03304130
https://tweakers.net/nieuws/145773/eu-landen-stemmen-in-met-verplichten-vingerafdruk-op-identiteitskaart.html
https://ictrecht.be/featured-2/er-komt-vingerafdruk-op-identiteitskaart-iets-om-wakker-liggen/

https://www.imdb.com/title/tt4081012/mediaviewer/rm32050432 (film: In Extremis (2017)
quote: ‘It's the end of the world - at least their world.’
29-03-2019, 14:18 door karma4 - Bijgewerkt: 29-03-2019, 14:24
Door Anoniem:
Ha, geef de burger maar weer de schuld. Als beleidsmaker had je op je vingers kunnen natellen dat als je een nummer introduceert omdat het zo vreselijk handig is, dat dan meer mensen denken "oh nou dan gebruiken wij het ook maar". Dat doet de overheid zelf ook, zie SoFi->BSN en nog wat oprekkingen. De regelgeving eromheen helpt ook niet: Soms MOET je je persoonsnummer geven, en soms MAG je het NIET. En dat is geen simpel lijstje. Hetzelfde met kopietjes legitimasie, maar dat lijstje is natuurlijk wel net even anders en zelfs nog een stukje ingewikkelder.
….
Het is de overheid die faalt zich aan de eigen wet te houden. De burger laat zich in de luren leggen door te geloven dat de geheimhouding de weg is. Lees even: https://www.rvig.nl/binaries/rvig/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer/mvt-bsn.pdf
Bij de invoering van het sofir-nr vanuit het relatienummer van de belastingdienst wist men dat het niet voor authenticatie mocht dienen.


Waar is het misgegaan? Omdat er geen authenticatievoorziening geleverd werd gingen de verwerkers roepen dat het geen blaam trof omdat ze het bsn geregistreerd hadden en de verwerkingen geen fout gaven. Het probleem moet dan aan de burger liggen. Compleet fout onwettelijk en verkeerd en een ieder ging het geloven omdat een ander het zei.


Mijn persoonlijke voorkeur is om (de betaling van) de zorg niet van "identiteit" afhankelijk te maken. Dat is die nu wel, en dat is een bij-effect van de wens een verzekeraarskartel te spekken. Laten we daar ook maar mee ophouden.
Nou nee de zorg voor een persoon is namelijk vanuit de aard persoonsgebonden ofwel afhankelijk van de identiteit.

In plaats daarvan zie ik een afleidingsmaneuvre met een verder niet ter zake doende "QR code".
Ja eens, in plaats van zich aan de eigen wet te houden, iets technisch lastig zeggen zodat het echte probleem kan blijven doorzeuren. Hoe langer je als minister kan doorschuiven hoe langer hij kan aanblijven.
29-03-2019, 14:55 door Anoniem
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?

Salaris strook / uitkeringsspecificatie / mijnoverheid.nl zijn een paar mogelijkheden
30-03-2019, 12:39 door Anoniem
"Even" 47 paginas vol met wollig ambtelijk jargon? *kuch*

Bij de invoering van het sofir-nr vanuit het relatienummer van de belastingdienst wist men dat het niet voor authenticatie mocht dienen.
Ze hadden op hun vingers kunnen natellen dat het wel voor vanalles en nogwat verder ook nog gebruikt ging worden. "Want handig". Dan heb je dus alleen aan jezelf gedacht en niet aan de gevolgen.

Waar is het misgegaan? Omdat er geen authenticatievoorziening geleverd werd gingen de verwerkers roepen dat het geen blaam trof omdat ze het bsn geregistreerd hadden en de verwerkingen geen fout gaven. Het probleem moet dan aan de burger liggen. Compleet fout onwettelijk en verkeerd en een ieder ging het geloven omdat een ander het zei.
Het is ook een heel woud van regels over wie het wel en niet mag en het ding is precies bedacht om "handig" te zijn. Maar niet veilig. Wat al bij invoering gezegd geworden is.

Plus dan nog bijvoorbeeld het SSN in de VS, dat al langer bestaat en waar ook een hele lange historie van ellende mee is. Niets van geleerd.

Mijn persoonlijke voorkeur is om (de betaling van) de zorg niet van "identiteit" afhankelijk te maken. Dat is die nu wel, en dat is een bij-effect van de wens een verzekeraarskartel te spekken. Laten we daar ook maar mee ophouden.
Nou nee de zorg voor een persoon is namelijk vanuit de aard persoonsgebonden ofwel afhankelijk van de identiteit.
Je haalt hier twee dingen doorelkaar.

Het eerste is het leveren van de zorg, en die is afhankelijk van de staat van het lichaam, waaronder dus een goed stuk biologie. Zou je als dokter bijvoorbeeld zo'n star trek scanner hebben waarmee je practisch gratis altijd perfecte diagnoses kan stellen, dan hoef je de naam van de patient alleen nog maar uit sociale overwegingen te weten. Medisch zal het worst wezen. "Identiteit" is daarmee medisch gezien niet meer dan een proxy om een dossier aan te kunnen hangen. Een administratief handigheidje, uit practische overwegingen. Dat kan ook heel goed anders. Bijvoorbeeld een dog tag met je dossier erin, netjes gestandaardiseerd en altijd direct opvraagbaar voor hulpverleners zolang ze maar naast je ziekbed staan. Maar niet waar ik het over had.

Het tweede is betalen voor de zorg. En dat deden we collectief. Tegenwoordig is iedereen verplicht (vrijwel) hetzelfde pakket voor (vrijwel) dezelfde kosten bij een van overheidswege gezegende verzekeraar af te nemen. Uit "vrije markt", maar ondertussen is de markt helemaal niet vrij. Je bent collectief gedwongen mee te doen.

Dat gaat redelijk ver. Zo betaalde ik altijd mijn tandarts ter plekke contant want (noodgedwongen) niet verzekerd, maar zelfs dat mocht niet meer. Want ze moesten zonodig een kopietje burgerhaatkaart hebben (en die had ik niet want de gemeente weigerde mij zo'n ding te geven), ten bate van de verzekeraars. Ook de onverzekerden vallen onder die regel. En dat is dus gewoon behoorlijk dichtgetikt. Een foute aanname in het systeem.

Maargoed, als je die olichargenclub van de verzekeraars ertussenuithaalt en de zorg gewoon echt collectief betaalt, scheelt dat niet een hele hoop rompslomp en nodeloos geld rondpompen, maar ook de noodzaak iedereen op zijn identiteit vast te pinnen zodat de verzekeraars hun administratie kunnen bijwerken.

Ik had het over die helft van het probleem. De andere helft is ook wel oplosbaar. Het is een kwestie van organiseren. Laat nu net deze organisatievorm met de verzekeraarsolichargie gekozen zijn om de zorg "kostenefficienter" te maken, maar alles wat er gebeurd is, is dat de zorg slechter en duurder geworden is, en er zijn zelfs hele ziekenhuizen failliet gegaan. Lijkt me hoog tijd om eens achter de oren te krabben en toe te geven dat dit plannetje toch niet zo goed gewerkt heeft als dat er beloofd werd dat het zou werken.

In plaats daarvan zie ik een afleidingsmaneuvre met een verder niet ter zake doende "QR code".
Ja eens, in plaats van zich aan de eigen wet te houden, iets technisch lastig zeggen zodat het echte probleem kan blijven doorzeuren. Hoe langer je als minister kan doorschuiven hoe langer hij kan aanblijven.
Het begint wel erg op te vallen dat de meute er vooral voor zichzelf zit. Tijd om dat maar eens te veranderen.
31-03-2019, 10:52 door Bezige Bij
Het is halfslachtig allemaal. Iedereen heeft tegenwoordig een QR-scanner en kan ook deze QR-code uitlezen. Wat een onzin.Het denkwerk hebben ze daar allemaal niet uitgevonden.
01-04-2019, 09:16 door Anoniem
Door Anoniem: Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?
Uiteraard hoef je het BSN niet 1:1 te verwerken in die QR code.
Je kan het met een algoritme opslaan, aangezien het alleen machine-readable moet zijn.
01-04-2019, 15:58 door Anoniem
Door Anoniem:
Door Anoniem: Kan iemand mij uitleggen hoe er niet gefraudeerd kan worden met een QR code? Dat is toch gewoon een kwestie van uitlezen?
Uiteraard hoef je het BSN niet 1:1 te verwerken in die QR code.
Je kan het met een algoritme opslaan, aangezien het alleen machine-readable moet zijn.
Je plakt hier fijn wat buzzwords aanelkaar maar dat blijkt geen garantie dat je dan ook wat zinnigs zegt. Wat wilde je nou eigenlijk zeggen?

Dat je met zo een befaamd "verhaspelingsalgorithme" (specifieker, een "cryptographically secure hash", zoals SHA256, etc.) erover je de boel afdoende beveiligd hebt? Nou nee, want het zijn maar acht of negen cijfers waarvan een controlegetal, dus effectief een cijfertje minder. Dan is je "beveiliging" triviaal te breken door ze gewoon allemaal te berekenen en dan de hash in de lijst van zelfgevonden hashes-met-BSN-erbij op te zoeken. Zo'n lijstje kost rond de 4GB (voor SHA256, minder als je het slimmer doet) en is in een paar uurtjes te klussen op een stevige desktop. Daarna past'ie op je QR code-lezende telefoon.

Zelfs de opmerking dat "het alleen machine-readable moet zijn" slaat nergens op. Als een machine erbij moet kunnen kan'ie het toch ook aan een persoon laten zien, danwel ten bate van die persoon de handeling te verrichten? Nergens zie ik een garantie dat die persoon niet toevallig een oplichter is, of dat de software er door een oplichter tussen geschoven is (malware), of wat dan ook. Dit is dus gewoon niet doordacht, want er klopt helemaal niets van.
03-04-2019, 15:13 door Anoniem
Door Anoniem: Nu nog een app die de QR tag automatisch vervangt door een zwart valk, wanneer men ook een kopie van de achterkant verlangt. Dat gebeurt voor zover ik weet ook nog wel eens.


Er zijn maar enkele instanties die een kopie ID mogen vragen: bijvoorbeeld (hypotheek)bank, werkgever, notaris.
De rest MAG DIT NIET verplicht stellen mensen..


https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
03-04-2019, 15:17 door Anoniem
Door Anoniem: Ik weet mijn bsn nummer niet uit mijn hoofd, waar ga ik die ooit zelf terug vinden dan?

Gewoon inschrijven bij de Kamer van Koophandel en dan de laatste 3 karakters van je BTW nummer weglaten.

(wel opschieten hoor: https://www.security.nl/posting/603459 ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.