image

Donorregister: beperkte kans op identiteitsfraude door datalek

woensdag 11 maart 2020, 11:27 door Redactie, 18 reacties

Burgers van wie de gedigitaliseerde donorregistraties zijn kwijtgeraakt lopen een beperkte kans op identiteitsfraude, zo stelt het Donorregister. Gisteren werd bekend dat de overheid twee harde schijven is kwijtgeraakt waarop 6,9 miljoen gedigitaliseerde donorkeuzeformulieren waren opgeslagen.

Op deze formulieren stonden voor- en achternaam, geslacht, geboortedatum, toenmalige adresgegevens, toenmalige keuze over orgaandonatie, handtekening, burgerservicenummer of administratief nummer van de basisregistratie van de gemeente. "Omdat het niet gaat om kopieën van identiteitsbewijzen, financiële gegevens of (DigiD) inlogcodes wordt de kans op identiteitsfraude op basis van de gegevens als beperkt ingeschat", zo stelt het Donorregister.

Gisteren meldde directeur Laagland van het CIBG nog dat het risico op identiteitsfraude "in alle redelijkheid als laag aan te merken is omdat op de formulieren geen bijzondere (als bedoeld in de AVG) persoonsgegevens zijn opgenomen." Daarbij baseert Laagland zich op informatie van het Centraal Meldpunt Identiteitsfraude en - fouten (CMI). Het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid, had het datalek bij de Autoriteit Persoonsgegevens gemeld.

Reacties (18)
11-03-2020, 11:41 door Anoniem
Bijzonder, de combinatie van gegevens maakt juist heel eenvoudig om je voor te doen als iemand anders: "mag ik uw BSN ter controle?" ; "kunt u mij ter verificatie uw geboortedatum vertellen"? De gegevens zijn op deze manier wel een heel handig naslagwerk. de conclusie dat het een beperkt risico is vindt ik op zijn minst twijfelachtig....
11-03-2020, 11:45 door Anoniem
Maar staan diegene nu nog wel of niet geregistreerd?
(altijd alleen maar van die halve antwoorden)
11-03-2020, 11:51 door Erik van Straten
Uit https://www.consumentenbond.nl/internet-privacy/identiteitsfraude:
Sommige criminelen shoppen bij meerdere winkels en laten een andere persoon voor de rekening opdraaien. Ze gebruiken dan zijn of haar gegevens. Criminelen misbruiken het burgerservicenummer, de geboortedatum en het adres.

Uit https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn:
Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.

Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs
Met uw naam, geboortedatum en burgerservicenummer kunnen fraudeurs bijvoorbeeld een lening aanvragen of een telefoonabonnement afsluiten.

In https://www.rvig.nl/actueel/facts--figures kun je lezen dat het aantal meldingen van identiteitsfraude aan het CMI elk jaar toeneemt.
11-03-2020, 11:59 door Anoniem
Iedereen die jouw BSN heeft, paar naw-gegevens en weet dat jij geen DigiD gebruikt is het niet al te moeilijk om een werkende inlog te verkrijgen voor DigiD.
Qua identiteitsfraude zijn de mogelijkheden dan vrijwel eindeloos.
11-03-2020, 12:10 door Anoniem
"Alles wat je nodig hebt om flink te frauderen" == "beperkte kans op identiteitsfraude door datalek".

Jawel, overheidslogica. Of eigenlijk, crisismanagement en damage control. Wat de waarheid is het geenszins.
11-03-2020, 12:10 door Anoniem
“Beperkt risico”..Serieus?! Alle ingrediënten zijn aanwezig voor identiteitsfraude. Naw plus bsn.
11-03-2020, 12:27 door Anoniem
Het geeft maar weer eens aan: de overheid is niets anders dan een dwarsdoorsnede van de Nederlandse bevolking/ samenleving. Kundige mensen, domme mensen, werkende processen, slechte en overbodige processen, downplayers (zoals in dit artikel naar voren komt) en realistische mensen. Ze lopen allemaal rond. We moeten hier vooral niet verbaasd over zijn. Hoe meer data wordt verzameld van mensen (ook al is het nodig) en hoe meer er wordt gekoppeld, hoe groter de potentiële ellende.

Jammer dat er zo laks wordt gereageerd. Hoe vaak zien we niet dat bij bedrijven twee controlevragen worden gesteld om zaken telefonisch gedaan te krijgen: wat is uw geboortedatum en wat is uw adres? Je kunt zo enorm veel met de data die nu op straat ligt.

Ook mooi: welke zinnen worden vetgedrukt in het bericht van het Donorregister?

De vermissing heeft geen enkele invloed op de juistheid en betrouwbaarheid van de gegevens in het Donorregister. Er zijn geen gegevens uit het digitale Donorregister verdwenen.

Ja, dit is echt veruit het belangrijkste in het artikel. Gelukkig maar, de gegevens staan er nog. Weliswaar op iets meer plekken dat de bedoeling is, maar de integriteit van de data is gewaarborgd. Nu de vertrouwelijkheid nog.
11-03-2020, 12:47 door Anoniem
Worden de betrokkenen ook nog even op de hoogte gesteld? Die hebben dan tenminste enig
verweer mocht een onverlaat inderdaad identiteitsfraude plegen.
11-03-2020, 13:41 door Anoniem
Dat zoekraken van al die navelstrengen voor behandeling van kinderen met stamcellen is erger. (nieuws 20-febr. l.l.).
Er gebeuren gekke dingen in ons eens zo betrouwbare en nuchtere landje, mensen.

Hoe zou dat nu toch komen? Zit of hangt er iets in de lucht, misschien?
Commerciele en criminele vrijstaat zo onderhand.

Algemene houding als in de historische Jan Salie-tijd, redeloos, radeloos, reddeloos. Wie gaan ons redden?
Van de elektrische auto terug naar de trekschuit.

Jodocus Oyevaer
11-03-2020, 14:22 door [Account Verwijderd]
De harde schijven waren hoogstwaarschijnlijk niet beveiligd, aldus de minister.
Wie niet weet waar de harde schijven zijn gebleven die in de kluis lagen, geeft gewoon toe dat er helemaal geen sprake was van beveiliging. En ik heb zo'n vermoeden dat deze HD's ook niet versleuteld waren (waarom zou je ook, want ze liggen in de kluis!).
11-03-2020, 16:47 door karma4
Door Erik van Straten: Uit https://www.consumentenbond.nl/internet-privacy/identiteitsfraude:
Sommige criminelen shoppen bij meerdere winkels en laten een andere persoon voor de rekening opdraaien. Ze gebruiken dan zijn of haar gegevens. Criminelen misbruiken het burgerservicenummer, de geboortedatum en het adres.

Uit https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn:
Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.

Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/fraude-voorkomen-met-kopie-id-bewijs
Met uw naam, geboortedatum en burgerservicenummer kunnen fraudeurs bijvoorbeeld een lening aanvragen of een telefoonabonnement afsluiten.

In https://www.rvig.nl/actueel/facts--figures kun je lezen dat het aantal meldingen van identiteitsfraude aan het CMI elk jaar toeneemt.
Het noemen van een bsn als bewijs accepteren is niet toegestaan volgens de wet. Het is wel heel makkelijk om schade naar de slachtoffers te verleggen. Zolang er onwettelijk gedrag door het AP en andere instanties gefaciliteerd wordt zal de fraude toenemen.
11-03-2020, 16:53 door Anoniem
Wat een paniek....

Een hardeschijf in een kluis in een IT omgeving.. zomaar een dag op de IT afdeling:
ITer1: We moeten een backup maken, heb jij nog een schijf liggen?
ITer2: Nee, maar kijk eens in de kluis daar liggen ongemarkeerde schijven die kun je zo gebruiken
ITer1: Ohh ja goed idee.

Gevolg: disken weg en paniek.... maar niets aan het handje met de data die is gewoon overschreven door andere data en nu wel gemarkeerd en netjes gedocumenteerd in de kluis gelegd.

maw: wacht het onderzoek even af voor iedereen conclusies trekt die nergens op slaan
11-03-2020, 17:18 door Erik van Straten - Bijgewerkt: 11-03-2020, 17:32
Door karma4: Het noemen van een bsn als bewijs accepteren is niet toegestaan volgens de wet.
Heb je daar een link voor?

Door karma4: Het is wel heel makkelijk om schade naar de slachtoffers te verleggen. Zolang er onwettelijk gedrag door het AP en andere instanties gefaciliteerd wordt zal de fraude toenemen.
Dat de mogelijk gelekte gegevens ongeschikt zijn voor authenticatie ben ik volledig met jou eens (maar reken je niet rijk, op andere punten ben ik het zelden met jou eens).

Een belangrijke facilitator van (toenemende) identiteitsfraude is dat organisaties geen goede methodes hebben om personen te authenticeren die niet fysiek op lokatie aanwezig zijn. Dat organisatie daarom onbetrouwbare methodes gebruiken, ligt niet zozeer aan de poging om BSN's en andere identificerende gegevens geheim te houden. Dat ligt aan het feit dat de overheid ons wel fysieke identiteitsbewijzen verstrekt, maar geen betrouwbare digitale identiteitsbewijzen (en nee, de gemiddelde smartphone is geen betrouwbare interface naar een waarschijnlijk wel betrouwbare chip in een fysiek identiteitsbewijs).

Ook al zou er een wet bestaan die de huidige methodes niet toestaat: dat valt niet te handhaven. Bovendien zouden rechters eventuele overtreders wel eens in het gelijk kunnen stellen indien die overtreders aangeven geen alternatieven te hebben.

Door Anoniem: Wat een paniek....
[...]
maw: wacht het onderzoek even af voor iedereen conclusies trekt die nergens op slaan
Zowel het onbedoeld niet meer beschikbaar hebben van persoonsgegevens, als het niet meer weten waar media met persoonsgegevens zijn gebleven, zijn al "datalekken". Ongeacht of iemand daar ooit iets ongeautoriseerds mee doet of zal kunnen doen.

Vooral bij persoonsgegevens van zoveel mensen horen media simpelweg niet kwijt te raken, en passen bureaucratische procedures. Downplayen werkt wat mij betreft volledig averrechts: als jij gegevens van een ander "lekt" is het simpelweg niet meer aan jou om te bepalen hoe ernstig dat is.

Gevolg: als als jij zo over mijn gegevens denkt, ga ik die nooit meer aan jou geven. Dit was precies de verkeerde reactie van directeur Laagland van het CIBG.
11-03-2020, 19:06 door karma4
Door Erik van Straten:
Door karma4: Het noemen van een bsn als bewijs accepteren is niet toegestaan volgens de wet.
Heb je daar een link voor?
Natuurlijk: https://zoek.officielebekendmakingen.nl/kst-30312-3.html Hij stond eerder ook bij het RVIG zelf.
Ze hebben de tegenspraak van eigen berichtgeving en de wetgeving kennelijk gezien. RVIG is de instantie die de middelen voor die controle zou moeten leveren.
Artikel 12 is dat wat met het gebruik BSN er over zegt: https://wetten.overheid.nl/BWBR0022428/2018-07-28

Een belangrijke facilitator van (toenemende) identiteitsfraude is dat organisaties geen goede methodes hebben om personen te authenticeren die niet fysiek op lokatie aanwezig zijn. Dat organisatie daarom onbetrouwbare methodes gebruiken, ligt niet zozeer aan de poging om BSN's en andere identificerende gegevens geheim te houden. Dat ligt aan het feit dat de overheid ons wel fysieke identiteitsbewijzen verstrekt, maar geen betrouwbare digitale identiteitsbewijzen (en nee, de gemiddelde smartphone is geen betrouwbare interface naar een waarschijnlijk wel betrouwbare chip in een fysiek identiteitsbewijs). [/quote]Eens, zie boven. Het gekke is dat het privacylab wel stelt dat de smartphone het bewijs van vlees en bloed is.

Ook al zou er een wet bestaan die de huidige methodes niet toestaat: dat valt niet te handhaven. Bovendien zouden rechters eventuele overtreders wel eens in het gelijk kunnen stellen indien die overtreders aangeven geen alternatieven te hebben.

Dan kunnen ze ook de weg open zetten voor schade verhalen waar de echte oorzaak zit. De zoveelste affaire in wording.

Door Anoniem: Wat een paniek....
[...] Gevolg: als als jij zo over mijn gegevens denkt, ga ik die nooit meer aan jou geven. Dit was precies de verkeerde reactie van directeur Laagland van het CIBG.
Lees het verhaal even beter, er is is veel geks met dat register en die schijven.
- Het register lijkt een papieren archief te zijn geen digitale.
- De papieren worden nu in opdracht vernietigd en dan wordt er naar die schijfjes een backup van 10 jaar terug gevraagd.
Meerdere reorgansisaties verhuizingnen uitbesteding in al die tijd. Meest waarschijnlijke is dat die schijfjes al lang geleden vernietigd zijn. Waarom iedereen aanneemt dat omdat je iets niet kan vinden het dan wel gelekt moet zijn is een vreemde.
12-03-2020, 08:32 door Anoniem
Door Erik van Straten: Ook al zou er een wet bestaan die de huidige methodes niet toestaat: dat valt niet te handhaven. Bovendien zouden rechters eventuele overtreders wel eens in het gelijk kunnen stellen indien die overtreders aangeven geen alternatieven te hebben.

Mee eens voor wat betreft het onwettelijk gebruik maken van die methoden, maar ik verwacht ook dat een rechter de consument gelijk gaat geven in de situatie dat die een claim betwist dat hij/zij b.v. een contract zou zijn aangegaan met die partij op basis van deze methodes
12-03-2020, 10:39 door Anoniem
Net zoals dat alle medewerkers van organisaties die gegevens behoren te controleren aan de hand van een identiteitsbewijs een dag op training documentherkennning van enkele honderden Euro zijn gestuurd. En het bijpassend certificaat hebben behaald zodat ze ook gericht kunnen checken of een document echt is.... not.
12-03-2020, 13:16 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Ook al zou er een wet bestaan die de huidige methodes niet toestaat: dat valt niet te handhaven. Bovendien zouden rechters eventuele overtreders wel eens in het gelijk kunnen stellen indien die overtreders aangeven geen alternatieven te hebben.

Mee eens voor wat betreft het onwettelijk gebruik maken van die methoden, maar ik verwacht ook dat een rechter de consument gelijk gaat geven in de situatie dat die een claim betwist dat hij/zij b.v. een contract zou zijn aangegaan met die partij op basis van deze methodes
Waarschijnlijk wel, echter:
1) Dan moet je als eerlijke consument, die geheel buiten deze identiteitsfraude staat, wel de gang naar de rechter maken. Gelukkig heb ik daar zelf geen ervaringen mee, maar wat ik erover lees is dat geen pretje: het kost je veel geld en tijd, en het duurt lang. En uiteindelijk is de uitslag allerminst zeker;

2) De rechter moet er ook rekening mee houden dat een consument wel degelijk zelf iets gekocht heeft o.i.d. en daar nu onderuit probeert te komen door te liegen dat hij dat niet geweest is en er sprake moet zijn van identiteitsfraude.

Meestal is het ontzettende lastig om te bewijzen dat jij iets niet gedaan hebt, en het dus een ander geweest moet zijn.
15-03-2020, 22:09 door Anoniem
1 Juli dit jaar komt iedereen dus in dit register terecht en wordt iedereen dus verplicht blootgesteld aan het gedachteloze informatiebeleid van het donorregister.

De vraag is wat je kan doen om dit te voorkomen.

Als je bij je gemeente doorgeeft dat je in de basisadministratie afgeschermd wil worden, zou het dan technisch niet mogelijk zijn om zo het fetchen door het donorregister te blokkeren?

Zou je in een brief de gemeente kunnen verbieden informatie aan het donorregister te verstrekken?

Zou je een verwijderverzoek met dwangsom bij het donorregister kunnen indienen op basis van de GDPR?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.