Als de werkgever betaald......

Bel maar eerst je gemeente voordat je zoiets doet.

Ja, leuk. En wat met al die ZZper waar de blauwe enveloppen brigade van eiste dat zijn hun persoonsnummer op hun website publiceerden??? Die krijgen toch ook geen nieuw persoonsnummer?!?!?! Natuurlijk niet. Het is overheid. En de slachtoffers zijn maar burgers. Die zien maar hoe ze het oplossen. Want zo werkt dat in Nederland.

Verder is het allemaal niet zo heel moeilijk: minimaliseer de hoeveelheid en douw ze gewoon in een dossier. Ja, dat kan ook gestolen worden. Maar ik heb nog nooit wat in de krant gelezen over een gestolen dossierkast waarbij de inhoud vervolgens gescanned wordt om te publiceren. U wel??
Maar ja, dat is niet 'hip' (wel goedkoop en effectief...), dus kan het niet.

Laat organisaties ophouden met kopiën van identiteitsbewijzen online op te slaan...

Beter nog, kap met de verplichting voor het stompzinnige kopietje-paspoort: zo'n kopie bewijst NIETS.

Beter beter nog, stel het maken van kopiën van identiteitsbewijzen strafbaar - net als op echte lijkende nepvuurwapens en echt lijkende kopieën van munt- en papiergeld.

Last but not least is een nieuw identiteitsbewijs ZINLOOS want (naast dat hetzelfde BSN erop staat): er bestaat geen publiek toegankelijk intrekkingstegister.

En dát is maar goed ook - i.v.m. IDOR-aanvallen en kopie-identiteitsbewijzen waarop de gegevens waarop gecheckt wordt, (minimaal) zijn gewijzigd.

Meer info: https://security.nl/posting/827137.

Waarom moet de werkgever betaald worden? Ik heb liever dat hij betaalt.

Dan heb je een nieuwe ID en dan?
De criminelen hebben dan toch nog steeds de gegevens die op je oude identiteitsbewijs staan?
Of zijn naam, geboortedatum, geboorteplaats, woonplaats en BSN dan ineens niet geldig meer?

Niet trollen, de werkgever moet opdraaien voor de mosten van het nieuwe ID. het heeft voor een niet gegronde reden persoonsgegevens verwerkt op een plek die daar niet voor bedoeld is. En die gegevens niet voldoende beschermd tegen niet geauthoriseerd gebruik.

Dit zal wel vaker gaan gebeuren. Minimalisatie is niet het enige antwoord, er zijn ook voorschriften waardoor bedrijven soms zaken zoals het BSN nodig hebben, zonder ze zelf te gebruiken, dit omdat er door de overheid controles uitgevoerd moeten kunnen worden waarbij duidelijk vastgesteld kan worden wie de begunstigde is. Een nieuwe ID is dus niet de oplossing: een nieuwe BSN (op een nieuw ID), kan wel want de belastingdienst kan een lijst van vervallen BSN nummers publiceren.

persoonsnummer? Die heb ik niet als ZZper. Zegt mij ook niets. Ik heb wel een BTW-nummer ofwel een VAT-nummer en een KVK nummer

Maar je hebt wel bewijs dat jij die legitimatie opdat moment gecontroleerd hebt.

Dit klopt inderdaad, echter is een werkgever dit momenteel verplicht te doen.

Iedere kaart heeft ook een uniek nummer.

Wat zijn "mosten"?

Nee, dat heb je niet, tenzij je kan bewijzen dat je zelf die kopie/scan gemaakt hebt, van het origineel, en hoe denk je dat te kunnen bewijzen?

Al die scans die worden geüpload of zelfs per e-mail worden verstuurd kunnen makkelijk vervalsingen zijn, voor wie een beetje vaardigheid heeft opgebouwd in Photoshop of Gimp of zo is dat goed te doen. De echtheidskenmerken van het origineel krijg je echt niet mee als je een scan ontvangt.

De werkgever maakt die kopie/scan van het orgineel en hebben (als het goed is) training/cursus gehad
om valse ID's te herkennen. Dat is in ieder geval het geval bij mijn werkgever.
Ik vermoed dat het zo werkt bij alle grote bedrijven.

Prima dat men wijst op secundair slachtofferschap, maar als het lek heeft plaatsgevonden bij een organisatie die terecht of ten onrechte kopietjes/scans van identiteitsbewijzen van anderen dan personeelsleden maakt dan zijn die anderen de secundaire slachtoffers die dit advies moeten ontvangen. Ik snap dat het typisch om personeelsleden zal gaan, maar waar het uiteindelijk om gaat is dat men die kopie had en dat die is gelekt, en niet om de vraag of het identiteitsbewijs van een personeelslid is. En er kunnen ook andere gegevens zijn waarvoor mensen een waarschuwing moeten krijgen.

Of wacht, het staat toch in het advies, de laatste alinea van de inleiding is:
Er staat ook nog een keer (één keer) "medewerkers en/of klanten" in het advies. Het lijkt wel alsof toen de tekst al geschreven was iemand, net als ik nu, opmerkte dat dit toch niet alleen over medewerkers gaat, en dat er nog even haastig een minimale aanpassing is gedaan. Ze hadden beter "medewerkers" door een woord als "getroffenen" kunnen vervangen. Het gaat om degenen die getroffen zijn door het datalek, personeel of niet.

Strikt genomen is het voldoende om kaartnummer en datum vast te leggen op het moment dat je de kaart bekijkt. Plus handtekening van de persoon.
De rest is alleen controle of de persoon is wie die zegt dat ie is volgens de NL overheid.
Foto, evt handtekening, naam, bsn FYEO voor de controleur.
Als de organisatie hun eigen controleur niet vertrouwd heb je een ander probleem.

Dat is inderdaad het idee erachter en dat is precies het moment waarop de controle nòg verder uitgerold word, namelijk de controle_van_de_controle op een zodanige manier dat deze laatste óók bewezen kan worden (= kopie).
Precies op dit moment, het moeten kunnen bewijzen dat de identiteit gecontroleerd wordt, wordt het vertrouwen aangetast.
Vertrouwen? Ja, vertrouwen.
De overheid zou -voorbeeld- bedrijven (werkgevers) die de plicht hebben om de identiteit van hun nieuwe werknemers te controleren moeten vertrouwen dat zij dat gedaan hebben. Zo simpel is het.
Die hele administraties met kopieën van identiteitsbewijzen zijn alleen maar ontstaan door een gebrek aan vertrouwen van de overheid.
Waarom moeten al die kopieën van identiteitsbewijzen van iedereen permanent (of tijdelijk) in die administraties bewaard worden? Een groen vinkje dat het identiteitsbewijs gezien is, is voldoende, zou voldoende moeten zijn.
De overheid gaat te ver met controle wanneer ze op dat moment eist dat er een bewijs van controle overlegd wordt.
De functie van een "geijkt" identiteitsbewijs, zoals een (Nederlands) paspoort en ID-kaart, is het kunnen tonen ervan in bepaalde situaties, niét het op een of andere wijze multipliceren = kopiëren ervan (en dan die kopieën gaan bewaren) !
De overheid inflateert door controlezucht, wat pathologie is, het door haarzelf uitgegeven bewijs van (Nederlands) staatsburgerschap (paspoort en ID-kaart zijn eigendom van de staat, de burger mag deze bij zich dragen).

Het is op deze wijze hoe de controlestaat uitdijt door het controleren_van_de_controles_van_de_controles_van_de_controles - effect.
Wanneer je dit gedrag gaat normaliseren dan krijg je een samenleving waarin al het vertrouwen ondermijnd wordt omdat het vervangen wordt door controle, die óók weer vastgelegd (bewezen) moet worden (want we vertrouwen de controles niet).
Het adagium "vertrouwen is goed, controle is beter" geldt niet altijd (je zou met zo iemand getrouwd zijn). In elke relatie moet vertrouwen een bepaalde plek hebben.
Ook in de relatie tussen de staat en de burger.
Ergo, die verplichting moet vervallen, de wet moet veranderd worden.

Als je het al "bewijs" wilt noemen, is het uitermate zwak. Een origineel identiteitsbewijs, vooral een paspoort, bevat allerlei echtheidskenmerken - waaronder, steeds vaker, een chip met (als het goed is) een extreem lastig te achterhalen private key. Een fotokopie of scan van een identiteitsbewijs bevat niets van dat alles. Naast dat je niet weet wanneer die kopie gemaakt is, noch of de betrokken persoon daadwerkelijk aanwezig was en ook niet met welke betrouwbaarheid en door wie is vastgesteld dat het om de beschreven persoon ging.

Sterker, als iemand jou de gegevens voorleest, hoef je het originele identiteitsbewijs nooit in handen te hebben gehad om met een beetje AI (of handigheid met een tekenprogramma) een kopie van een identiteitsbewijs te maken - dat nauwelijks of niet van een "echte kopie" te onderscheiden valt.

Zodra iemand in de keten onbetrouwbaar is, kun je nergens meer van op aan. Een personeelsfunctionaris kan claimen dat Pietje Puk werkzaam is bij de organisatie, zonder dat Pietje Puk ooit over de vloer geweest is en zelf een fotokopie van zijn ID heeft gemaakt en per post heeft verzonden. Of een scan, die digitaal is verzonden, en afgedrukt met de printer "op de zaak" (die sporen op de afdruk achterlaat).

Oftewel, als een werkgever een lijst bijhoudt met daarin de vereiste gegevens afkomstig van identiteitsbewijzen, is dat net zo (on-) betrouwbaar als scans van identiteitsbewijzen in de cloud (of een kluis met fotokopieën). Als de overheid werkgevers niet vertrouwt (denk aan de vele louche uitzendbureautjes), laat dan werknemers een werkvergunning halen op het gemeentehuis - waar de identiteit van de toekomstige werknemer grondig geverifieerd wordt alvorens een vergunning wordt afgegeven om bij een specifieke organisatie een gedocumenteerde functie te gaan vervullen.

Er is vanalles denkbaar en je kunt veel dichttimmeren met digitale handtekeningen. Echter, authenticatie "op afstand" krijg je nooit zo sterk als "live" - door een ervaren en betrouwbare persoon die identiteisbewijzen op vervalsing checkt en, indien origineel, vaststelt dat de afgebeelde en beschreven persoon, in levenden lijve, vóór haar of hem staat.

De identiteitscheck is prima, waar ik bezwaar tegen heb is het verplicht maken van een fotokopie of een scan (die trouwens nooit ververst hoeft te worden - waardoor er niet eens meer een origineel hoeft te bestaan om mee te vergelijken).

Reden: zo'n kopie helpt niet tegen frauderende organisaties, en zij zijn de partij die zulke kopieën bewaart en daar potentieel mee rommelt. De arbeidsinspectie of FIOD zal geldige identiteitsbewijzen van werknemers zélf willen zien. Het risico van het bewaren van kopieën van identiteitsbewijzen ligt volledig bij de afgebeelde personen.

Juist doordat mensen zoals jij een betrouwbaarheidswaarde groter dan nul aan kopieën hechten, zijn kopieën interessant voor criminelen. En als ze niets waard zijn, zal niemand er identiteirsfraude mee kunnen plegen.

Anders gezegd: een kopie of scan van een identiteitsbewijs kan niet tegelijkertijd en voor iedereen waardeloos zijn, terwijl er alsnog omstandigheden blijken te bestaan waarbij zo'n scan of kopie noodzakelijk is - en dus waarde heeft.

Precies. Daarom schreef ik ook:
Stel een intrekkingsregister is openbaar (dat is wenselijk voor bijv. autoverhuurders). Dan kunnen criminelen ook checken of een kopie-ID die zij in handen hebben, vóórkomt op die lijst. Zo ja, dan kunnen zij dat nummer op die kopie wijzigen in een geldig nummer dat niet vóórkomt op die lijst. De identificerende gegevens (waaronder met name de pasfoto) van het slachtoffer met wiens identiteit gefraudeerd wordt, zullen niet worden gewijzigd door de criminelen.

Uiteindelijk zijn het slechts pixels (in een scan, en druppeltjes inkt/toner op een fotokopie).

Nee je hebt bewijs dat je een kopie gemaakt hebt. Niets meer


Nee, alleen in heel specifieke gevallen. Zie:
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

"Nee, alleen ..." is ook teveel.
(nieuwe anoniem)

Onzin. Ze krijgen er drie. En helemaal gratis.

Een eigenaar van een éénmanszaak danwel een UBO van een flex-BV hebben een BSN.
Een éénmanszaak en een flex-BV krijgen een BTW-nummer;
die van de BV is gelijkend aan de RSIN,
die van de éénmanszaak is gelijkend aan de BSN.
Daarom krijgt de éénmanszaak voor gebruik naar de buitenwereld een BTW-id (VATIN).

Deze discusie heeft inderdaad jarenlang geduurd omdat iedereen enkel naar elkaar zat te wijzen. Maarre...
dat je (a) nu nog (b) deze vraag opwerpt, doet mij sterk vermoeden dat je hier een plaatsvervangende slachtofferrol opeist.

De Sociale Verzekerings Bank heeft een speciale app voor de controle: de chip van het paspoort wordt door de telefoon uitgelezen (dus het is een echt paspoort en geen kopie) en de foto wordt vergeleken met een paar camerabeelden (dus de houder is in de buurt van de telefoon).

Ja, maar dit bewijst niet dat de op het paspoort afgebeelde persoon deze scan zelf uitvoert.

En als de op het paspoort afgebeelde persoon deze scan wél zelf uitvoert, kan dat onder dwang of na misleiding zijn gebeurd.

Alsjeblieft zeg. Er zal mogelijk ooit iemand in de buurt van een camera zijn geweest, maar een reeks pixels (al dan niet in bewegende beelden) vormt geen enkel bewijs dat de getoonde persoon ook maar iets te maken heeft met de private key in het paspoort - en zo ja, dat die persoon beseft met welk werkelijk doel men authenticeert en wie exact de verifieerder is - d.w.z. dit géén AitM (Attacker in the Middle) is, die zich (min of meer overtuigend) vóórdoet als de gesuggereerde verifieerder.

Beelden kunnen veel te eenvoudig op veel plaatsen op internet worden "gescoord" en de getoonde persoon kan desgewenst m.b.v. AI worden verouderd. Ook afbeeldingen van paspoorten (inclusief de getoonde pasfoto) kunnen bijna naar believen worden gemanipuleerd. En nepwebsites zijn beslist (en opzettelijk) niet meer van echte te onderscheiden.

Werkelijk ONGELOOFELIJK hoeveel bullshit-believers er reageren op security.nl.

"Absolute" authenticatie op afstand is EXTREEM ZWAK - en ik kan het mij niet voorstellen hoe dat OOIT zou kunnen verbeteren (dat kan aan mij liggen: overtuig me maar van mijn ongelijk. Maar dan wel met verifieerbare argumenten; ik ben klaar met verkopers van Haarlemmerolie).

Sterker, met de toenemende mogelijkheden van AI wordt het concept met de dag onbetrouwbaarder en, als deze volksverlakkerij om te lachen zou zijn, BELACHELIJKER.

Geld is het probleem nog niet zo maar een BSN zou veranderbaar moeten zijn.

Stel je hebt een probleem ergens met , ik noem maar iets , Russische criminelen. Die jouw id hebben gestolen. En de Nederlandse overheid laat jou keihard vallen en doet niks voor je. Wat doe je dan...

Wat een vreemd advies.
Stop nu eens om kopieen van documenten en nummers voor controles te gebruiken. Dan maakt diefstal ook minder uit.
Los van de kopieen werkt photoshop (en tegenwoordig AI) ook fantastisch

Dan ben je nog niet zo heel lang ZZP'er........

Tot eind 2019 was nl. het verplicht om je BSN op je website te plaatsen, naast je KvK nummer.
Omdat dit (logischerwijs) teveel ellende met zich meebracht, is vanaf 1 januari 2020 het BTW-id nummer ingezet.

Een simpele Google had je dit ook kunnen vertellen. ;)