Ja, dat is mosterd na de maaltijd natuurlijk.

Ik vraag mij af of we daarom het BSN-nummer niet zelf moeten aanpakken, dus dat bij diefstal het oude BSN-nummer wordt geblokkeerd en dat het slachtoffer het zelfde BSN-nummer krijgt met een extra code-toevoeging, zoals ze dat ook bij gestolen kentekenplaten doen. Hierdoor hoef je zelf het BSN niet te veranderen, maar kan je toch zien dat het oude is vervallen en alleen het nieuw nog geldt.

Het is maar een idee en wie een betere heeft, kan dit altijd hier melden.

hmm.


vs


Of het is verplicht of het is niet verplicht.

Als het paard verdronken is, wordt de put gedempt.

Te weinig, en veel te laat.


Wat de woordvoerder van het ministerie vergeet te vertellen, is dat een BSN-nummer voor het leven is.
Je kunt het als burger niet "even" wijzigen als het uitlekt/misbruikt wordt.

Maar laten we het vooral "verplicht" als identificerend koppelveld gebruiken bij datauitwisselingen.

What could possibly go wrong.
Oh, wait. It just did!
Bloody tossers.

Het is dus heel simpel:
"Zorgaanbieders, zorgverzekeraars en indicatieorganen zijn verplicht het BSN van patiënten te registreren. Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen",

En de oenen van Clinical Diagnostics begrijpen het nog steeds niet:
"In de zorgsector is het wettelijk verplicht om medische gegevens en bijbehorende persoonsgegevens gedurende een bepaalde termijn te bewaren. Dit is nodig om goede zorg te kunnen leveren, bijvoorbeeld om eerdere onderzoeken of uitslagen te kunnen raadplegen en om te voldoen aan wettelijke administratie- en bewaarplichten"

Dit lab is GEEN van de genoemde instantie die het BSN mogen gebruiken. Ze hebben simpelweg de wet overtreden en wringen zich nu in allerlei bochten om hun eigen falen te maskeren. Bah!!

Het is gewoon slecht geregeld, daarnaast zou je het moeten kunnen veranderen na een lek, ik bedoel; we leven in 2025, en we kunnen geen getallen veranderen?
Ik stel een hervorming voor van het systeem van het burgerservicenummer.
Als een wachtwoord is gelekt moet je het kunnen veranderen om misbruik te voorkomen.

Dit schrijnende voorbeeld van mogelijk misbruik van het BSN dwingt pro-actief tot een mogelijkheid tot onverwijld wijziging van het BSN.
Het kan en mag niet zo zijn dat burgers die door softwarelekken elders het verdronken kalf in de put worden door misbruik van hun data door criminelen omdat het BSN tot nu alleen veranderd kan worden indien één persoon per abuis twee burger service nummers heeft/krijgt.
Het excuus van: het is een gecompliceerd procedé daarom praktisch een enorme rompslomp voor de overheid, is een minachting van de burger die hier volledig afhankelijk is van de overheid voor zijn welzijn.

Het zou eigenlijk mogelijk moeten zijn om via de gemeente een nieuw BSN-nummer aan te vragen wanneer je persoonlijke gegevens gelekt zijn. Met de brief van het laboratorium, waarin wordt bevestigd dat jouw gegevens zijn gelekt, zou je eenvoudig naar de gemeente moeten kunnen gaan om een nieuw BSN te verkrijgen. Sterker nog, in zo’n situatie zou het zelfs mogelijk moeten zijn om een nieuwe geboortedatum te krijgen.

Finland maakt aanpassen bsn eenvoudiger voor slachtoffers Vastaamo datalek
vrijdag 13 november 2020, 14:46 door Redactie

https://www.security.nl/posting/677744/Finland+maakt+aanpassen+bsn+eenvoudiger+voor+slachtoffers+datalek

Simpeler kan ik het niet maken... Een BSN is een identificatie.. verder niets...punt...

Het is niet een authenticatie noch een autorisatie.

Er zijn verschillende landen waar het BSN overal gebruikt wordt.. Aanvragen van een internetverbinding, mobiel abbo, bankrekening...

Daar wordt het gebruikt als ID, niet als geheim wachtwoord.

Kan ook niet, want alle zelfstandig ondernemers categorie "Eenmanszaak" (rare naam, want je mag honderden mensen personeel hebben) moesten tot enkele maanden geleden nog hun BSN gebruiken op alle facturen.

Het lab is gewoon een onderzoeks instelling dat medische data moet uitwissen.

Dus MOETEN ze bij de uitwisseling het BSN gebruiken. Dus simpel weg, heb jij het niet goed begrepen?

Een lab is een zorgaanbieder en volgens de wet dus verplicht het BSN te gebruiken.

Medische gegevens MOETEN uitgewisseld worden met een BSN, dus hoe zie jij dan precies dat het LAB de wet overtreden heeft?

Goed zo. Het is wel jammer dat dit muntje pas valt na een calamiteit.

Nog iets om mee te nemen: een BSN heeft evenveel significante cijfers als een Nederlands telefoonnummer. Een getal dat zo makkelijk genoteerd, gekopieerd of uit het hoofd geleerd kan worden en gedeeld moet worden met sommige partijen is niet geschikt om als bewijs van iemands identiteit te zien. Het BSN is zo makkelijk te gebruiken voor identiteitsfraude omdat iedereen doet alsof alleen de rechtmatige eigenaar van een BSN in staat is om het te produceren, zo lijkt het wel. Accepteer een BSN van een persoon alleen als die op een echt identiteitsbewijs staat (en niet op een kopie of scan) en bij gegevensuitwisseling van partijen waarmee je betrouwbaar gegevens uitwisselt, en snap dat het niet meer is dan een handig technisch middeltje om gegevens betrouwbaarder mee te koppelen dan met namen, leeftijden, postcodes en dat soort zaken. Het is een hulpmiddel dat fouten helpt voorkomen, geen magisch wondermiddel dat onmogelijk fout kan zijn.

De calamiteit zou, voor wat het BSN betreft, kleiner zijn geweest als we er niet zo idioot mee omgingen.

Maar die instanties mogen wel verwerkingen uitbesteden aan andere partijen, en het lab is zo'n partij waaraan een verwerking is uitbesteed.

Het artikel hierboven linkt naar nu.nl, en daar staat onder meer:
Daar staat zelfs moeten, niet mogen. Toen dit lek net was uitgekomen heb ik een poging gedaan om te kijken wat onze wetgeving er nou echt over zegt, maar ik belandde in een aardig doolhof van naar elkaar verwijzende wetten, en hier en daar een formulering die ik niet goed wist te interpreteren, en precies de memorie van toelichting vinden die hoort bij een specifieke passage in een wet en duidelijkheid geeft is ook niet bepaald een eenvoudige opgave (dat kan nog een heel stuk toegankelijker gemaakt worden). Ik weet dus domweg niet of ze dit werkelijk goed interpreteren of dat het net zo goed anders opgevat had kunnen worden.

Hoe dan ook, technisch had dit prima met een vervangend nummer gekund, en had het lab zonder herkenbare persoonsgegevens kunnen werken. Het is diep triest dat er zo'n groot lek nodig is om dit in beweging te krijgen, maar het is positief dat nu doordringt dat dit anders moet en dat ze kijken of en hoe het anders kan. Het was nog heel wat mooier geweest als ze de put al gedempt hadden voordat het kalf verdronken was, natuurlijk, maar dat kan nu niet meer.

Het probleem is dat het BSN nummer verkeerd gebruikt wordt. Het is niet bedoeld ter identificatie. Het is alleen bedoeld om meneer A en B die dezelfde naam dragen en dezelfde geboortedatum, van elkaar te onderscheiden.

Als je het niet ter identificatie gebruikt is het ook niet erg als andere mensen het kennen. Als ze zich willen identificeren zullen ze een ID kaart moeten laten zien en niet alleen jouw BSN kennen.

Ach de politiek is ook weer achteraf wakker geworden. Hoeveel deskundigen hebben hiervoor al gewaarschuwd?

Tip: schakel over op biometrische gegevens, die kan je helemaal niet veranderen /s

Dit is al uitgediscussieerd:


Gewoon weer de interpretatie van de definitie van "zorgaanbieder" beperken tot diegenen die echt zorg verlenen aan patiënten. Dat zijn dus artsen en andere behandelaars die zelf met de patiënt een behandelingsovereenkomst hebben afgesloten (zoals bedoeld in de Wet Geneeskundige Behandelingsovereenkomst - WGBO), alsmede hun directe assistenten die zelf betrokken zijn bij de behandeling van de betreffende patiënt. In een ziekenhuis zijn dat bijvoorbeeld ook de verpleegdkundigen die zelf aan het bed van de betreffende patiënt staan.

Belangrijk is ook om te onderkennen dat het beginsel van dataminimalisatie (artikel 5, eerste lid AVG) vereist dat een verwerkingsverantwoordelijke (bijvoorbeeld een arts) niet onnodig veel data laat verwerken door "verwerkers" (bijvoorbeeld een lab).

Er is dus niet eens een wetswijziging nodig om weer verstandig met persoonsgegevens van patiënten om te gaan en hun (medische en andere) privacy te respecteren. Het gebruik van het gezonde verstand is genoeg. Want dat leidt tot een gezonde interpretatie van bestaande wetgeving, met respect voor het medisch beroepsgeheim en de medische privacy.

Maar allerlei partijen (van artsen die hun beroepsgeheim te grabbel hebben gegooid tot toezichthouders en bestuurders) hebben er nu belang bij om te doen alsof een wetswijziging nodig zou zijn om het goed te regelen. Want dan kunnen ze hun eigen verantwoordelijkheid ontkennen en de schuld leggen bij "wetgeving uit het verleden".

Zo werd vroeger niet tegen het BSN aan gekeken. Toen SoFi-nummer, en ook bedrijfsnr voor ZZpers welke op elke factuur moest van de Belastingdienst.

De belastingdienst classifieert dit nummer ook anders dan andere delen van de overheid. Ik heb de exacte benaming niet paraat maar weet dit vrijwel zeker. Verstuurde je vroeger facturen dan moest je je B-nummer erop zetten, en dit was in principe een paar letters plus je SoFi. De SoFi is later BSN geworden.

Pas veel later realiseerde de overheid zich (m.u.v. belastingdienst) dat het alleen een nr is voor binnen de overheid (en zorg) , naar Amerikaans gebruik (als je in de USA iemands nummer hebt kun je alles namelijk qua ID-fraude, hier is dat minder zo)

Maar er is wel een risico op phishing , bijvoorbeeld bij zorgaanbieders. Ik kan je vertellen dat dit heel eenvoudig is.

Stel jouw BSN lekt uit , bijvoorbeeld op Russische sites , dan laat de overheid je in de steek. Wel een hoop poehaa van de media, de AIVD enzovoort enzovoort over Rusland (waar de meesten cybercriminelen een beetje samenklonteren) maar ze doen niks voor je..

Je zou bijna zelf overwegen fake IDs te gaan gebruiken, en dit is in principe ook gelegitimeerd als de overheid niet garant kan staan voor je veiligheid

Dat hele BSN-nummer is leuk voor identificatie, maar niet voor authenicatie. Als je zorgt dat je een authenticatie op het BSN-nummer toepast, dan is de openbaarheid van een BSN-nummer al een stuk minder groot probleem.

Waarom hebben we continue gedoe:? Omdat we dat BSN-nummer zonder authenticatie gebruiken!

Op hoeveel plekken log je in met je mailadres? En dat mailadres kent ook iedereen en dat is geen probleem.

Precies dit!!

Op dit moment is het verplicht. Die verplichting is niet in beton gegoten. Met andere woorden: Op het moment kijken ze op het Ministerie van Volksgezondheid, of die (op dit moment nog bestaande!) verplichting misschien kan vervallen.

Het is wel een identifcatie, immers elke persoon heeft een uniek BSN-nummer. Dus als ik dat nummer heb, kan je die persoon identificeren.

Waar het misgaat, is dat dit nummer als authenticatie of autorisatie wordt gebruikt. Als je dit nummer weet op de noemen/in te tikken dan heb je bewezen dat je de persoon in kwestie bent. En dat is fundamenteel fout.

Vergelijk het met accounts waar je inlogt met je mailadres. Jouw mailadres is breed bekent en toch identificeer je je met je mailadres. Daar kan geen misbruik van gemaakt worden, omdat je vervolgens nog een authenticatie hebt, in de meest eenvoudige vorm met een wachtwoord, waarmee je bewijst dat jij het bent.

Voor de overheid hebben we DigiD om je te authenticeren. Dat kan je uitbreiden naar de zorg, of je richt iets soortgelijks in voor de zorg.

Commentaar
Centrale opslag van privégegevens blijkt een kwetsbaar onderdeel van de maatschappij

"Er zijn structureel de verkeerde keuzes gemaakt."


door Michael Persson, 25 augustus 2025 - Economie redactie

https://www.volkskrant.nl/columns-opinie/centrale-opslag-van-privegegevens-blijkt-een-kwetsbaar-onderdeel-van-de-maatschappij~b07eb487/

Het gaat niet alleen over het BSN maar ook over allerlei andere persoonsgegevens van patiënten of deelnemers aan bevolkingsonderzoek.

Als het ministerie van Volksgezondheid alleen een quick-fix doet voor het BSN-nummer, dan is er nog steeds geen oplossing.

Artsen moeten zich weer aan hun medisch beroepsgeheim gaan houden. Anders dwingen ze patiënten om te kiezen tussen of overleven/genezen, of hun gevoelige persoonsgegevens door Eurofins, Google, Microsoft en internationale hackers laten "verwerken" d.w.z. misbruiken.

Desnoods moeten artsen hun medisch beroepsgeheim prioriteit geven boven verrotte NL wetgeving die in strijd is met de grondrechten. Dus geen BSN-nummer doorsturen naar met Amerika gelinkte bedrijven of god weet waar.

Zolang artsen weigeren het medisch beroepsgeheim te respecteren en doen alsof hun neus bloedt, kun je ze niet vertrouwen. Trouwens ook niet hun medische adviezen en ingrepen. Je gaat toch ook niet aan een inbreker vragen hoe je je spullen veilig kan bewaren?

Klinkt stoer maar ik meen het. Als een arts mij wil gaan behandelen zonder mijn medische gegevens geheim te houden voor Google, MS etc., dan zal ik die behandeling weigeren en de arts aansprakelijk stellen voor de gevolgen.

Dan krijg je het "volgende" probleem, het "kopietje ID" dat overal rondzwerft.
Ook daar moeten ze dan NU een oploss9ing voor bedenken, zodat dat nmiet de volgend eput wordt die (achteraf) gedempt moet worden.

De overheid is (te) razendsnel gedigitaliserd, en heefzwaar t geblunderd bij de fundering.
Nu moeten politici en beleidsambtenaren dat nog in zien en snel aanpakken.

Anders hebben we deze hele discusie over een jaar weer.

Het probleem gaat veel verder dan de zorg en de rest van de overheid. Incl zogenoemde kopietjes van IDs.
Allemaal "identificatie", en een vorm van authenticatie bij de eerste keer aanvragen/aanmelden.
Je ziet het op digitale platformen, maar ook bij bv banken en hotels. Om maar een paar voorbeelden te noemen.
Het hele BSN gebruik en misbruik is een eigen leven gaan leiden,

Zoek de kern van het probleem. :-)

Ik wacht idd nog steeds op een nieuw BSN omdat ik dit jaren lang verplicht heb moeten lekken van de belastingdienst.

Zie ook #FreeTheBSN https://freethebsn.nl

Fraaie Freudian slip "uitwissen". Hadden ze dat maar gedaan !!

Een laboratorium is GEEN zorgaanbieder, zorgverzekeraar of indicatieorgaan en HAD dus NOOIT over het BSN mogen beschikken. Dat hadden zij zich MOETEN realiseren. Dat is hun fut en dat is strafbaar.

Het lab is GEEN zorgaanbieder. De rest volgt daaruit. Grote fout en strafbaar.

Begrijpend lezen blijft moeilijk merk ik.

De "ze" in deze quote "Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen" gaat over zorgverleners. Dus als zorgverleners onderling gegevens uitwisselen MOETEN ze het BSN gebruiken.
Het is NOOIT toegestaan om het BSN te gebruiken als een zorgverlener communiceert met de glazenwasser, cateraar of een uitstrijkjeslaboratorium.

Over welke gegevens gaat het precies?

Van patiënten is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:



Van zorgverleners is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:


https://clinicaldiagnostics.nl/nl/belangrijk-bericht-over-gegevens-van-patienten-en-zorgverleners/

Clinical Diagnostics stelt GEEN bankgegevens, wachtwoorden of ID-documenten te verwerken, dus die zijn niet gelekt.

Hoe dan ook, het BSN is niet meer een vertrouwd ID en inz identificatie (om oa witwassen en terrorisme mee tegen te gaan) kunnen ze er totaal niet meer op vertrouwen.

En nu...?

Als ik jouw BSN weet kan ik bijvoorbeeld wat zorgverzekeraars opbellen, doen alsof ik jou ben met een verhaaltje en je verzekering opzeggen.

Dat weet ik omdat ik zonder computer of smartphone mijn verzekering heb opgezegd , zonder enige vorm van identificatie vanuit een payphone

Eigenlijk zou iemand een Protonmail moeten maken en alle kamerleden (die straks gaan komen na de verkiezingen) mailen met de inhoud van freethebsn.nl

Dus: hoe verleent een lab zorg aan een patient? Zij hebben daar geen rechtsreeks contact mee (mag ik hopen)
Zij informeren een zorgverlener, die vervolgens de patient behandelt.
QED

Anoniem van 15:45 verwoordt het uitstekend, maar wie weet heeft iemand iets aan mijn gedachtenspinsels.

Dat laatste is juist identificatie.

Iemands kleur ogen is een identificerend gegeven, net als mijn naam "Erik van Straten". Beiden zijn niet uniek, en de combinatie waarschijnlijk ook niet.

Oftewel, identificerende gegevens hoeven niet uniek te zijn. Hoewel de kans zeer klein is dat de combinatie van een volledige naam, geboortedatum en geboorteplaats niet uniek is, heb je geen garantie (ik weet niet of het toegestaan is om een tweeling exact dezelfde voornaam/voornamen te geven, maar sowieso kun je toeval niet uitsluiten - vooral niet naarmate een geboorteplaats meer inwoners telt).

Een BSN is (uitgiftefouten en identiteitsfraude daargelaten) wél een uniek identificerend gegeven (binnen Nederland - en daarbuiten indien je NL erbij vermeldt).

Authenticatie daarentegen is het, met minder of meer zekerheid, vaststellen dat één of meer identificerende gegevens bij een specifieke "entiteit" "horen" (bijv. BSN bij een mens of een merk, type en serienummer bij een elektronisch apparaat).

Het is ingewikkelde materie met vaak verwarrende woorden, zoals "legitimeren" of "identiteitsbewijs". Letterlijk beschouwd is dat laatste niet (helemaal) waar. De meeste identiteitsbewijzen koppelen een pasfoto aan (zoveel mogelijk unieke) identificerende gegevens. Het bewijs (nooit 100%) van identiteit wordt pas geleverd als de op de pasfoto afgebeelde persoon (evt. aangevuld met andere beschrijvende gegevens, zoals oogkleur en lengte) daarmee overeenkomt. Daarmee is "bewezen" dat de alfanumerieke identificerende gegevens bij die persoon horen.

Anders gezegd: gegeven een entiteit (bijv. een persoon voor een balie van een autoverhuurder), kan het noodzakelijk zijn om (met minder of meer zekerheid) vast te stellen om "wie" het gaat. Vaak is dat nodig om uit te sluiten dat iemand zich als een ander voordoet. De meeste mensen staan er niet bij stil dat iedereen slachtoffer kan wordren van identiteitsfraude, dus waarbij iemand anders zich voordoet als jou (zonder dat je daar op korte termijn iets over hoeft te vernemen).

Als je ooit met risico's i r.t. authenticatie te maken krijgt, is het verstandig om vanuit het perspectief van de situatie te redeneren:
1) Waarbij betrouwbare authenticatie, in de eerste plaats, in het belang van de betrokkene is (denk bijv. aan het afsluiten van een lening) - om te voorkomen dat iemand anders zich al te makkelijk kan voordoen als de betrokkene.

2) Waarbij betrouwbare authenticatie niet in in het belang van de betrokkene is - zoals aangehouden worden voor een verkeersovertreding, zwartrijden of een leeftijdscontrole terwijl de betrokkene te jong is (of oud genoeg voor een pornosite maar om privacy- redenen diens eigen identiteit niet wil prijsgeven).

Authenticatie middels kennis van een BSN is absurd, want hoewel het "shared" is (uit "shared secret") is het geen secret.

De enige reden om een beperkt aantal partijen toe te staan om het BSN te mogen verwerken, is Privacy. Want hoe meer organisaties het BSN verwerken, hoe betrouwbaarder tracking van individuën wordt.