Slachtoffers toeslagenaffaire en datalekken krijgen geen nieuw BSN
Slachtoffers van de toeslagenaffaire en datalekken krijgen geen nieuw burgerservicenummer, zo heeft demissionair staatssecretaris Van Huffelen van Digitalisering op basis van onderzoek laten weten. Begin 2021 had VVD-Kamerlid Lodders Kamervragen gesteld over een nieuw BSN voor slachtoffers van de toeslagenaffaire. Van Huffelen liet toen al weten dat ze geen voorstander was van het wijzigen van het burgerservicenummer, maar gaf aan hier wel een extern onderzoek naar te laten uitvoeren.
"Het wijzigen van het BSN veroorzaakt naar verwachting in het algemeen veel regeldruk voor burgers. Zij moeten doorgaans nieuwe identiteitsdocumenten – zoals een paspoort of rijbewijs – aanvragen, en organisaties die geen notificatie krijgen van het gewijzigde BSN op de hoogte stellen. Als niet alle betrokken partijen in ketenprocessen van een gewijzigd BSN gebruik maken, lopen informatiestromen vast. Dat vereist handmatig herstel. Als het wijzigen van het BSN dan vaak voorkomt, is de kans groot dat er uitvoeringsproblemen ontstaan", vat de staatssecretaris de onderzoeksconclusie samen (pdf).
Volgens de onderzoekers zou een nieuw BSN niet de problemen van slachtoffers van de toeslagenaffaire wegnemen. "Als het BSN wijzigt zal de ‘ongewenste historie’ niet verdwijnen. Zelfs als het BSN op de meest grondige manier wordt gewijzigd, zal de historie nog steeds naar een bepaalde persoon zijn te herleiden. Dat komt vooral omdat het BSN niet het enige identificerende gegeven is", zo stellen ze.
Naast slachtoffers van de toeslagenaffaire werd ook gekeken of slachtoffers van datalekken een nieuw BSN zouden moeten krijgen. Het gaat dan om personen van wie het burgerservicenummer onbedoeld is gelekt. Daar stellen de onderzoekers dat het wijzigen van het BSN in zekere zin wel een oplossing is. "Immers, het vervangen van het BSN betekent dat het oude niet meer geldig is en niet meer misbruikt kan worden. Het risico op misbruik wordt gereduceerd."
Er zijn echter ook nadelen. "Tegelijkertijd veroorzaakt het voor de burger veel regeldruk, is er risico op fouten en brengt het voor de overheid veel kosten en risico voor de uitvoering met zich mee", concludeert Van Huffelen, die de aanbevelingen van de onderzoekers volgt en het huidige beleid, waarbij een burger geen tweede of nieuw BSN kan krijgen, ongewijzigd laat.
Hoe minder gegevens je van iemand hebt, des te minder je ook kan uitlekken.
Er moet ingezet worden op het wegnemen van mogelijkheden om van een "gelekt BSN" misbruik te maken, niet op het steeds wijzigen van BSN omdat dit weer eens gelekt is.
Als je BSN dezelfde status heeft als je banknummer (je geeft het niet aan iedereen maar het is geen probleem als toch iemand het weet) dan is het hele probleem veel beter opgelost.
Dus: scenario's in kaart brengen waarbij de kennis van een BSN (zonder de kennis van andere identificerende informatie zoals een DigiD login) de mogelijkheid van misbruik geeft, en die mogelijkheden wettelijk onmogelijk maken.
Je kunt natuurlijk ook gewoon degene die het gelekt heeft bij wet verantwoordelijk stellen voor deze kosten. Dan denk je wel 2x na of het wel nodig is om een BSN van iemand te vragen, en als je het al nodig hebt, om er voorzichtig mee om te gaan.
Nu is het lekken van gegevens nog veel te veel een "oeps, foutje, afschrijven en doorrrrr"...
De overheid zou het juist andersom moeten benaderen door de slachtoffers te benaderen met de vraag of ze willen dat de overheid alle documenten met hun bsn erop willen vervangen met een nieuw te regelen bsn nummer. Niet de burger maar de overheid moet in deze haar lekken gaan herstellen. Dit lijkt mij namelijk een goede rem op het data-horden en een soort van tegemoetkoming / erkenning dat de overheid het ook echt vervelend vindt dat de datalek überhaupt gebeurde.
Geen super ethische methode maar soms zijn er offers nodig. Die politici offeren immers ook genoeg op voor hun (eigen) agenda.
Sommige van die bestuurders die doen net alsof ze zelf niet in Nederland hoeven te wonen.... zij wonen gewoon met hun familietje tussen ons hoor, net als de politie en andere ambtenaren... misschien dat ze in een mentaal paradijs wonen, tot ze wakker geschud worden!!
Eens kijken welke mensen stemmen daar eigenlijk op, zeg
1) De aanname door een deel van de Nederlanders dat het kennen van een BSN betekent dat je er de "eigenaar" van bent (authenticatie). Dit is per definitie idioterie, want ook de controleur moet het BSN kennen - naast dat de meeste ambtenaren hier toegang tot hebben. Mede als gevolg van de vele datalekken mag je een BSN nooit als een authenticerend gegeven gebruiken.
2) Het BSN is enorm handig om een persoon, levenslang, uniek te identificeren. In hoe meer gegevensverzamelingen dat exacte BSN gebruikt wordt, hoe groter het privacyrisico van de betrokke - omdat daardoor nagenoeg feilloze koppelingen met andere gegevensverzamelingen mogelijk zijn.
Niet punt 1, maar punt 2, is de reden om het mogen verwerken van het BSN streng tot een minimum te beperken.
Zie ook wat ik schreef in https://security.nl/posting/795682 (verder toegelicht daaronder in https://security.nl/posting/795855). Nb. als zoiets al bestaat, waarom wordt dat dan niet gebruikt?
...
2) Het BSN is enorm handig om een persoon, levenslang, uniek te identificeren.
...
Klinkt als biometrische identificatie...
Dan maar dezelfde rechten en plichten erbij stellen?
Dus dezelfde veiligheidseisen als bij vingerafdruk/retinascan/ademprint identificatie vereisen...
Waarom kan het BSN niet gewoon digitaal op de chip worden ingevoerd en bij verandering van het BSN via die chip worden aangepast? Dat zou veel werk uit handen geven.
De fout zit overigens niet alleen in Nederland, maar de hele wereldgemeenschap die eist dat dit op alle paspoorten, ID-kaarten en rijbewijzen moet worden aangebracht. Zolang deze stenentijdperktechnologie wordt gebezigd, is het dweilen met de kraan open.
...
2) Het BSN is enorm handig om een persoon, levenslang, uniek te identificeren.
...
Klinkt als biometrische identificatie...
a) Biometrie wordt gebruikt voor authenticatie, (in de praktijk) niet voor identificatie;
b) Een BSN is, net als een naam, een identificerend "label" dat je krijgt "opgeplakt" na je geboorte. Ook hoeft het niet hetzelfde te zijn bij elke organisatie; sterker, ik pleit ervoor om "servicenummers" (klantnummers, patiëntnummers etc.) uniek te maken per organisatie. Ook komt het soms voor dat het overheids-BSN wijzigt (zoals na fouten daarmee), maar voor de overheid en uiteindelijk de betrokkene kan dit ook nadelige consequenties hebben.
Was daar het basisstelsel met oa de BRP niet voor opgezet?
Eenmaal als burger een wijziging aanleveren bij de overheid, meervoudig gebruiken door diezelfde overheid. (Dat was het fabeltje dat ons indertijd verteld werd)
Dus diezelfde overheid zou die wijziging horen te distribueren. Daar had ze toch een systeem voor opgezet?
Of als het basisstelsel niet werkt (kan ook), schaf het dan af.
Bespaart weer wat IT-kosten bij de overheid.
Waarom kan het BSN niet gewoon digitaal op de chip worden ingevoerd en bij verandering van het BSN via die chip worden aangepast? Dat zou veel werk uit handen geven.
De fout zit overigens niet alleen in Nederland, maar de hele wereldgemeenschap die eist dat dit op alle paspoorten, ID-kaarten en rijbewijzen moet worden aangebracht. Zolang deze stenentijdperktechnologie wordt gebezigd, is het dweilen met de kraan open.
Dit is disinformatie.
Alleen Nederland heeft het BSN. Amerika heeft het SS nummer, zodra je die hebt , heb je in principe iemands leven en kun je alles overnemen van die persoon, levensverzekeringen afsluiten en opnemen. Daar is het nog slechter geregeld.
Wat jij bedoelt is het Document nummer, ja , dat heeft elk paspoort , id. Maar de BSN staat aan de achterkant, niet voor niets toch?
Het is gewoon met deze #@$#$ overheid wachten tot een incident en ik bid dat deze er snel komen gaat want ben het wel beu inmiddels
Je kunt je naam veranderen, je geslacht, alles behalve je bsn.. ze zijn zeker teveel bezig met de geslachtsveranderingen mogelijk maken + subsidieren
Dit is het deel van de overheid voor (buitenlandse) inlichtingendiensten.
De belastingdienst weet het meest over jou van iedereen, aangevuld met je bankgegevens.
Het maakt de rest van de overheid tot 'leuke service loketten met weinig weet'
De overheid zou het juist andersom moeten benaderen door de slachtoffers te benaderen met de vraag of ze willen dat de overheid alle documenten met hun bsn erop willen vervangen met een nieuw te regelen bsn nummer. Niet de burger maar de overheid moet in deze haar lekken gaan herstellen. Dit lijkt mij namelijk een goede rem op het data-horden en een soort van tegemoetkoming / erkenning dat de overheid het ook echt vervelend vindt dat de datalek überhaupt gebeurde.
Er is alleen maar sprake van slachtoffers als het een van "hun" betreft, snap je?
Verder kun je in dit land alles wijzigen van voornaam tot achternaam tot geslacht maar je BSN niet.
De reden: "ketenproblematiek" , ja misschien alleen bij de uitkeringsinstanties en belastingdienst. En vooral "moeilijk voor de burger want die moet dan een nieuw paspoort regelen, een hoop gedoe!"
Uitspraak van De heer Berenschot, zie de PDF. Wie is dhr Berenschot eigenlijk? Ik die dat nergens terug in de correspondentie..... geen voornaam, geen kantoor....
Misschien een WOO verzoekje? Iemand zin?
De overheid zou het juist andersom moeten benaderen door de slachtoffers te benaderen met de vraag of ze willen dat de overheid alle documenten met hun bsn erop willen vervangen met een nieuw te regelen bsn nummer. Niet de burger maar de overheid moet in deze haar lekken gaan herstellen. Dit lijkt mij namelijk een goede rem op het data-horden en een soort van tegemoetkoming / erkenning dat de overheid het ook echt vervelend vindt dat de datalek überhaupt gebeurde.
Er is alleen maar sprake van slachtoffers als het een van "hun" betreft, snap je?
Verder kun je in dit land alles wijzigen van voornaam tot achternaam tot geslacht maar je BSN niet.
De reden: "ketenproblematiek" , ja misschien alleen bij de uitkeringsinstanties en belastingdienst. En vooral "moeilijk voor de burger want die moet dan een nieuw paspoort regelen, een hoop gedoe!"
Uitspraak van De heer Berenschot, zie de PDF. Wie is dhr Berenschot eigenlijk? Ik die dat nergens terug in de correspondentie..... geen voornaam, geen kantoor....
Misschien een WOO verzoekje? Iemand zin?
Zou (dhr) Berenschot misschien dit kunnen zijn?
https://www.berenschot.nl/
Daar maakt de overheid wel vaker gebruik van.
Wellicht tot niemand er meer actueel weet van heeft.
Als men nu eens met handhaving en straffen begon.
Nu gaat men vaak weer over tot de orde van de dag, zoals zo vaak.
Het is nu vaak misbruik proberen te ontwijken, zorg dat je geen slachtoffer wordt.
Je moet zelf maar uitkijken, dat het je niet treft.
Kijk eens naar de overzichten op URLHaus of bij AbuseIPD en zie wat maar kan blijven misbruiken.
Digital hellhole in de maak.
En de reactie is al te vaak 'glas, plas, was'.
https://www.nrc.nl/nieuws/2023/07/10/algoritme-rekende-lukraak-schulden-uit-van-australiers-met-een-uitkering-a4169406
Het robodebt beleid zorgde voor schrijnende situaties. Vele mensen raakten dakloos, sommigen pleegden zelfmoord.
https://www.nrc.nl/nieuws/2023/07/10/algoritme-rekende-lukraak-schulden-uit-van-australiers-met-een-uitkering-a4169406
Het robodebt beleid zorgde voor schrijnende situaties. Vele mensen raakten dakloos, sommigen pleegden zelfmoord.
Computer says: NO.
Er moet ingezet worden op het wegnemen van mogelijkheden om van een "gelekt BSN" misbruik te maken, niet op het steeds wijzigen van BSN omdat dit weer eens gelekt is.
Als je BSN dezelfde status heeft als je banknummer (je geeft het niet aan iedereen maar het is geen probleem als toch iemand het weet) dan is het hele probleem veel beter opgelost.
Dus: scenario's in kaart brengen waarbij de kennis van een BSN (zonder de kennis van andere identificerende informatie zoals een DigiD login) de mogelijkheid van misbruik geeft, en die mogelijkheden wettelijk onmogelijk maken.
Mee eens: denk na over alternatieve scenario's en beperking van het BSN gebruik.
Verder: ook al verander je het BSN van benadeelde burgers niet, je zou toch nog een extra maatregel kunnen nemen om misbruik van de gelekte BSN's te voorkomen, bijvoorbeeld door een extra veiligheidscode of door extra logging van dergelijke BSN's. Zoiets moet toch mogelijk zijn?
Gewoon ‘n vergissing? Ik betwijfel het.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.