Ja, dat is mosterd na de maaltijd natuurlijk.

Ik vraag mij af of we daarom het BSN-nummer niet zelf moeten aanpakken, dus dat bij diefstal het oude BSN-nummer wordt geblokkeerd en dat het slachtoffer het zelfde BSN-nummer krijgt met een extra code-toevoeging, zoals ze dat ook bij gestolen kentekenplaten doen. Hierdoor hoef je zelf het BSN niet te veranderen, maar kan je toch zien dat het oude is vervallen en alleen het nieuw nog geldt.

Het is maar een idee en wie een betere heeft, kan dit altijd hier melden.

hmm.


vs


Of het is verplicht of het is niet verplicht.

Als het paard verdronken is, wordt de put gedempt.

Te weinig, en veel te laat.


Wat de woordvoerder van het ministerie vergeet te vertellen, is dat een BSN-nummer voor het leven is.
Je kunt het als burger niet "even" wijzigen als het uitlekt/misbruikt wordt.

Maar laten we het vooral "verplicht" als identificerend koppelveld gebruiken bij datauitwisselingen.

What could possibly go wrong.
Oh, wait. It just did!
Bloody tossers.

Het is dus heel simpel:
"Zorgaanbieders, zorgverzekeraars en indicatieorganen zijn verplicht het BSN van patiënten te registreren. Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen",

En de oenen van Clinical Diagnostics begrijpen het nog steeds niet:
"In de zorgsector is het wettelijk verplicht om medische gegevens en bijbehorende persoonsgegevens gedurende een bepaalde termijn te bewaren. Dit is nodig om goede zorg te kunnen leveren, bijvoorbeeld om eerdere onderzoeken of uitslagen te kunnen raadplegen en om te voldoen aan wettelijke administratie- en bewaarplichten"

Dit lab is GEEN van de genoemde instantie die het BSN mogen gebruiken. Ze hebben simpelweg de wet overtreden en wringen zich nu in allerlei bochten om hun eigen falen te maskeren. Bah!!

Het is gewoon slecht geregeld, daarnaast zou je het moeten kunnen veranderen na een lek, ik bedoel; we leven in 2025, en we kunnen geen getallen veranderen?
Ik stel een hervorming voor van het systeem van het burgerservicenummer.
Als een wachtwoord is gelekt moet je het kunnen veranderen om misbruik te voorkomen.

Dit schrijnende voorbeeld van mogelijk misbruik van het BSN dwingt pro-actief tot een mogelijkheid tot onverwijld wijziging van het BSN.
Het kan en mag niet zo zijn dat burgers die door softwarelekken elders het verdronken kalf in de put worden door misbruik van hun data door criminelen omdat het BSN tot nu alleen veranderd kan worden indien één persoon per abuis twee burger service nummers heeft/krijgt.
Het excuus van: het is een gecompliceerd procedé daarom praktisch een enorme rompslomp voor de overheid, is een minachting van de burger die hier volledig afhankelijk is van de overheid voor zijn welzijn.

Het zou eigenlijk mogelijk moeten zijn om via de gemeente een nieuw BSN-nummer aan te vragen wanneer je persoonlijke gegevens gelekt zijn. Met de brief van het laboratorium, waarin wordt bevestigd dat jouw gegevens zijn gelekt, zou je eenvoudig naar de gemeente moeten kunnen gaan om een nieuw BSN te verkrijgen. Sterker nog, in zo’n situatie zou het zelfs mogelijk moeten zijn om een nieuwe geboortedatum te krijgen.

Finland maakt aanpassen bsn eenvoudiger voor slachtoffers Vastaamo datalek
vrijdag 13 november 2020, 14:46 door Redactie

https://www.security.nl/posting/677744/Finland+maakt+aanpassen+bsn+eenvoudiger+voor+slachtoffers+datalek

Simpeler kan ik het niet maken... Een BSN is een identificatie.. verder niets...punt...

Het is niet een authenticatie noch een autorisatie.

Er zijn verschillende landen waar het BSN overal gebruikt wordt.. Aanvragen van een internetverbinding, mobiel abbo, bankrekening...

Daar wordt het gebruikt als ID, niet als geheim wachtwoord.

Kan ook niet, want alle zelfstandig ondernemers categorie "Eenmanszaak" (rare naam, want je mag honderden mensen personeel hebben) moesten tot enkele maanden geleden nog hun BSN gebruiken op alle facturen.

Het lab is gewoon een onderzoeks instelling dat medische data moet uitwissen.

Dus MOETEN ze bij de uitwisseling het BSN gebruiken. Dus simpel weg, heb jij het niet goed begrepen?

Een lab is een zorgaanbieder en volgens de wet dus verplicht het BSN te gebruiken.

Medische gegevens MOETEN uitgewisseld worden met een BSN, dus hoe zie jij dan precies dat het LAB de wet overtreden heeft?

Goed zo. Het is wel jammer dat dit muntje pas valt na een calamiteit.

Nog iets om mee te nemen: een BSN heeft evenveel significante cijfers als een Nederlands telefoonnummer. Een getal dat zo makkelijk genoteerd, gekopieerd of uit het hoofd geleerd kan worden en gedeeld moet worden met sommige partijen is niet geschikt om als bewijs van iemands identiteit te zien. Het BSN is zo makkelijk te gebruiken voor identiteitsfraude omdat iedereen doet alsof alleen de rechtmatige eigenaar van een BSN in staat is om het te produceren, zo lijkt het wel. Accepteer een BSN van een persoon alleen als die op een echt identiteitsbewijs staat (en niet op een kopie of scan) en bij gegevensuitwisseling van partijen waarmee je betrouwbaar gegevens uitwisselt, en snap dat het niet meer is dan een handig technisch middeltje om gegevens betrouwbaarder mee te koppelen dan met namen, leeftijden, postcodes en dat soort zaken. Het is een hulpmiddel dat fouten helpt voorkomen, geen magisch wondermiddel dat onmogelijk fout kan zijn.

De calamiteit zou, voor wat het BSN betreft, kleiner zijn geweest als we er niet zo idioot mee omgingen.

Maar die instanties mogen wel verwerkingen uitbesteden aan andere partijen, en het lab is zo'n partij waaraan een verwerking is uitbesteed.

Het artikel hierboven linkt naar nu.nl, en daar staat onder meer:
Daar staat zelfs moeten, niet mogen. Toen dit lek net was uitgekomen heb ik een poging gedaan om te kijken wat onze wetgeving er nou echt over zegt, maar ik belandde in een aardig doolhof van naar elkaar verwijzende wetten, en hier en daar een formulering die ik niet goed wist te interpreteren, en precies de memorie van toelichting vinden die hoort bij een specifieke passage in een wet en duidelijkheid geeft is ook niet bepaald een eenvoudige opgave (dat kan nog een heel stuk toegankelijker gemaakt worden). Ik weet dus domweg niet of ze dit werkelijk goed interpreteren of dat het net zo goed anders opgevat had kunnen worden.

Hoe dan ook, technisch had dit prima met een vervangend nummer gekund, en had het lab zonder herkenbare persoonsgegevens kunnen werken. Het is diep triest dat er zo'n groot lek nodig is om dit in beweging te krijgen, maar het is positief dat nu doordringt dat dit anders moet en dat ze kijken of en hoe het anders kan. Het was nog heel wat mooier geweest als ze de put al gedempt hadden voordat het kalf verdronken was, natuurlijk, maar dat kan nu niet meer.

Het probleem is dat het BSN nummer verkeerd gebruikt wordt. Het is niet bedoeld ter identificatie. Het is alleen bedoeld om meneer A en B die dezelfde naam dragen en dezelfde geboortedatum, van elkaar te onderscheiden.

Als je het niet ter identificatie gebruikt is het ook niet erg als andere mensen het kennen. Als ze zich willen identificeren zullen ze een ID kaart moeten laten zien en niet alleen jouw BSN kennen.

Ach de politiek is ook weer achteraf wakker geworden. Hoeveel deskundigen hebben hiervoor al gewaarschuwd?

Tip: schakel over op biometrische gegevens, die kan je helemaal niet veranderen /s

Dit is al uitgediscussieerd:


Gewoon weer de interpretatie van de definitie van "zorgaanbieder" beperken tot diegenen die echt zorg verlenen aan patiënten. Dat zijn dus artsen en andere behandelaars die zelf met de patiënt een behandelingsovereenkomst hebben afgesloten (zoals bedoeld in de Wet Geneeskundige Behandelingsovereenkomst - WGBO), alsmede hun directe assistenten die zelf betrokken zijn bij de behandeling van de betreffende patiënt. In een ziekenhuis zijn dat bijvoorbeeld ook de verpleegdkundigen die zelf aan het bed van de betreffende patiënt staan.

Belangrijk is ook om te onderkennen dat het beginsel van dataminimalisatie (artikel 5, eerste lid AVG) vereist dat een verwerkingsverantwoordelijke (bijvoorbeeld een arts) niet onnodig veel data laat verwerken door "verwerkers" (bijvoorbeeld een lab).

Er is dus niet eens een wetswijziging nodig om weer verstandig met persoonsgegevens van patiënten om te gaan en hun (medische en andere) privacy te respecteren. Het gebruik van het gezonde verstand is genoeg. Want dat leidt tot een gezonde interpretatie van bestaande wetgeving, met respect voor het medisch beroepsgeheim en de medische privacy.

Maar allerlei partijen (van artsen die hun beroepsgeheim te grabbel hebben gegooid tot toezichthouders en bestuurders) hebben er nu belang bij om te doen alsof een wetswijziging nodig zou zijn om het goed te regelen. Want dan kunnen ze hun eigen verantwoordelijkheid ontkennen en de schuld leggen bij "wetgeving uit het verleden".

Zo werd vroeger niet tegen het BSN aan gekeken. Toen SoFi-nummer, en ook bedrijfsnr voor ZZpers welke op elke factuur moest van de Belastingdienst.

De belastingdienst classifieert dit nummer ook anders dan andere delen van de overheid. Ik heb de exacte benaming niet paraat maar weet dit vrijwel zeker. Verstuurde je vroeger facturen dan moest je je B-nummer erop zetten, en dit was in principe een paar letters plus je SoFi. De SoFi is later BSN geworden.

Pas veel later realiseerde de overheid zich (m.u.v. belastingdienst) dat het alleen een nr is voor binnen de overheid (en zorg) , naar Amerikaans gebruik (als je in de USA iemands nummer hebt kun je alles namelijk qua ID-fraude, hier is dat minder zo)

Maar er is wel een risico op phishing , bijvoorbeeld bij zorgaanbieders. Ik kan je vertellen dat dit heel eenvoudig is.

Stel jouw BSN lekt uit , bijvoorbeeld op Russische sites , dan laat de overheid je in de steek. Wel een hoop poehaa van de media, de AIVD enzovoort enzovoort over Rusland (waar de meesten cybercriminelen een beetje samenklonteren) maar ze doen niks voor je..

Je zou bijna zelf overwegen fake IDs te gaan gebruiken, en dit is in principe ook gelegitimeerd als de overheid niet garant kan staan voor je veiligheid

Dat hele BSN-nummer is leuk voor identificatie, maar niet voor authenicatie. Als je zorgt dat je een authenticatie op het BSN-nummer toepast, dan is de openbaarheid van een BSN-nummer al een stuk minder groot probleem.

Waarom hebben we continue gedoe:? Omdat we dat BSN-nummer zonder authenticatie gebruiken!

Op hoeveel plekken log je in met je mailadres? En dat mailadres kent ook iedereen en dat is geen probleem.

Precies dit!!

Op dit moment is het verplicht. Die verplichting is niet in beton gegoten. Met andere woorden: Op het moment kijken ze op het Ministerie van Volksgezondheid, of die (op dit moment nog bestaande!) verplichting misschien kan vervallen.

Het is wel een identifcatie, immers elke persoon heeft een uniek BSN-nummer. Dus als ik dat nummer heb, kan je die persoon identificeren.

Waar het misgaat, is dat dit nummer als authenticatie of autorisatie wordt gebruikt. Als je dit nummer weet op de noemen/in te tikken dan heb je bewezen dat je de persoon in kwestie bent. En dat is fundamenteel fout.

Vergelijk het met accounts waar je inlogt met je mailadres. Jouw mailadres is breed bekent en toch identificeer je je met je mailadres. Daar kan geen misbruik van gemaakt worden, omdat je vervolgens nog een authenticatie hebt, in de meest eenvoudige vorm met een wachtwoord, waarmee je bewijst dat jij het bent.

Voor de overheid hebben we DigiD om je te authenticeren. Dat kan je uitbreiden naar de zorg, of je richt iets soortgelijks in voor de zorg.

Commentaar
Centrale opslag van privégegevens blijkt een kwetsbaar onderdeel van de maatschappij

"Er zijn structureel de verkeerde keuzes gemaakt."


door Michael Persson, 25 augustus 2025 - Economie redactie

https://www.volkskrant.nl/columns-opinie/centrale-opslag-van-privegegevens-blijkt-een-kwetsbaar-onderdeel-van-de-maatschappij~b07eb487/

Het gaat niet alleen over het BSN maar ook over allerlei andere persoonsgegevens van patiënten of deelnemers aan bevolkingsonderzoek.

Als het ministerie van Volksgezondheid alleen een quick-fix doet voor het BSN-nummer, dan is er nog steeds geen oplossing.

Artsen moeten zich weer aan hun medisch beroepsgeheim gaan houden. Anders dwingen ze patiënten om te kiezen tussen of overleven/genezen, of hun gevoelige persoonsgegevens door Eurofins, Google, Microsoft en internationale hackers laten "verwerken" d.w.z. misbruiken.

Desnoods moeten artsen hun medisch beroepsgeheim prioriteit geven boven verrotte NL wetgeving die in strijd is met de grondrechten. Dus geen BSN-nummer doorsturen naar met Amerika gelinkte bedrijven of god weet waar.

Zolang artsen weigeren het medisch beroepsgeheim te respecteren en doen alsof hun neus bloedt, kun je ze niet vertrouwen. Trouwens ook niet hun medische adviezen en ingrepen. Je gaat toch ook niet aan een inbreker vragen hoe je je spullen veilig kan bewaren?

Klinkt stoer maar ik meen het. Als een arts mij wil gaan behandelen zonder mijn medische gegevens geheim te houden voor Google, MS etc., dan zal ik die behandeling weigeren en de arts aansprakelijk stellen voor de gevolgen.

Dan krijg je het "volgende" probleem, het "kopietje ID" dat overal rondzwerft.
Ook daar moeten ze dan NU een oploss9ing voor bedenken, zodat dat nmiet de volgend eput wordt die (achteraf) gedempt moet worden.

De overheid is (te) razendsnel gedigitaliserd, en heefzwaar t geblunderd bij de fundering.
Nu moeten politici en beleidsambtenaren dat nog in zien en snel aanpakken.

Anders hebben we deze hele discusie over een jaar weer.

Het probleem gaat veel verder dan de zorg en de rest van de overheid. Incl zogenoemde kopietjes van IDs.
Allemaal "identificatie", en een vorm van authenticatie bij de eerste keer aanvragen/aanmelden.
Je ziet het op digitale platformen, maar ook bij bv banken en hotels. Om maar een paar voorbeelden te noemen.
Het hele BSN gebruik en misbruik is een eigen leven gaan leiden,

Zoek de kern van het probleem. :-)

Ik wacht idd nog steeds op een nieuw BSN omdat ik dit jaren lang verplicht heb moeten lekken van de belastingdienst.

Zie ook #FreeTheBSN https://freethebsn.nl

Fraaie Freudian slip "uitwissen". Hadden ze dat maar gedaan !!

Een laboratorium is GEEN zorgaanbieder, zorgverzekeraar of indicatieorgaan en HAD dus NOOIT over het BSN mogen beschikken. Dat hadden zij zich MOETEN realiseren. Dat is hun fut en dat is strafbaar.

Het lab is GEEN zorgaanbieder. De rest volgt daaruit. Grote fout en strafbaar.

Begrijpend lezen blijft moeilijk merk ik.

De "ze" in deze quote "Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen" gaat over zorgverleners. Dus als zorgverleners onderling gegevens uitwisselen MOETEN ze het BSN gebruiken.
Het is NOOIT toegestaan om het BSN te gebruiken als een zorgverlener communiceert met de glazenwasser, cateraar of een uitstrijkjeslaboratorium.

Over welke gegevens gaat het precies?

Van patiënten is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:



Van zorgverleners is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:


https://clinicaldiagnostics.nl/nl/belangrijk-bericht-over-gegevens-van-patienten-en-zorgverleners/

Clinical Diagnostics stelt GEEN bankgegevens, wachtwoorden of ID-documenten te verwerken, dus die zijn niet gelekt.

Hoe dan ook, het BSN is niet meer een vertrouwd ID en inz identificatie (om oa witwassen en terrorisme mee tegen te gaan) kunnen ze er totaal niet meer op vertrouwen.

En nu...?

Als ik jouw BSN weet kan ik bijvoorbeeld wat zorgverzekeraars opbellen, doen alsof ik jou ben met een verhaaltje en je verzekering opzeggen.

Dat weet ik omdat ik zonder computer of smartphone mijn verzekering heb opgezegd , zonder enige vorm van identificatie vanuit een payphone

Eigenlijk zou iemand een Protonmail moeten maken en alle kamerleden (die straks gaan komen na de verkiezingen) mailen met de inhoud van freethebsn.nl

Dus: hoe verleent een lab zorg aan een patient? Zij hebben daar geen rechtsreeks contact mee (mag ik hopen)
Zij informeren een zorgverlener, die vervolgens de patient behandelt.
QED

Anoniem van 15:45 verwoordt het uitstekend, maar wie weet heeft iemand iets aan mijn gedachtenspinsels.

Dat laatste is juist identificatie.

Iemands kleur ogen is een identificerend gegeven, net als mijn naam "Erik van Straten". Beiden zijn niet uniek, en de combinatie waarschijnlijk ook niet.

Oftewel, identificerende gegevens hoeven niet uniek te zijn. Hoewel de kans zeer klein is dat de combinatie van een volledige naam, geboortedatum en geboorteplaats niet uniek is, heb je geen garantie (ik weet niet of het toegestaan is om een tweeling exact dezelfde voornaam/voornamen te geven, maar sowieso kun je toeval niet uitsluiten - vooral niet naarmate een geboorteplaats meer inwoners telt).

Een BSN is (uitgiftefouten en identiteitsfraude daargelaten) wél een uniek identificerend gegeven (binnen Nederland - en daarbuiten indien je NL erbij vermeldt).

Authenticatie daarentegen is het, met minder of meer zekerheid, vaststellen dat één of meer identificerende gegevens bij een specifieke "entiteit" "horen" (bijv. BSN bij een mens of een merk, type en serienummer bij een elektronisch apparaat).

Het is ingewikkelde materie met vaak verwarrende woorden, zoals "legitimeren" of "identiteitsbewijs". Letterlijk beschouwd is dat laatste niet (helemaal) waar. De meeste identiteitsbewijzen koppelen een pasfoto aan (zoveel mogelijk unieke) identificerende gegevens. Het bewijs (nooit 100%) van identiteit wordt pas geleverd als de op de pasfoto afgebeelde persoon (evt. aangevuld met andere beschrijvende gegevens, zoals oogkleur en lengte) daarmee overeenkomt. Daarmee is "bewezen" dat de alfanumerieke identificerende gegevens bij die persoon horen.

Anders gezegd: gegeven een entiteit (bijv. een persoon voor een balie van een autoverhuurder), kan het noodzakelijk zijn om (met minder of meer zekerheid) vast te stellen om "wie" het gaat. Vaak is dat nodig om uit te sluiten dat iemand zich als een ander voordoet. De meeste mensen staan er niet bij stil dat iedereen slachtoffer kan wordren van identiteitsfraude, dus waarbij iemand anders zich voordoet als jou (zonder dat je daar op korte termijn iets over hoeft te vernemen).

Als je ooit met risico's i r.t. authenticatie te maken krijgt, is het verstandig om vanuit het perspectief van de situatie te redeneren:
1) Waarbij betrouwbare authenticatie, in de eerste plaats, in het belang van de betrokkene is (denk bijv. aan het afsluiten van een lening) - om te voorkomen dat iemand anders zich al te makkelijk kan voordoen als de betrokkene.

2) Waarbij betrouwbare authenticatie niet in in het belang van de betrokkene is - zoals aangehouden worden voor een verkeersovertreding, zwartrijden of een leeftijdscontrole terwijl de betrokkene te jong is (of oud genoeg voor een pornosite maar om privacy- redenen diens eigen identiteit niet wil prijsgeven).

Authenticatie middels kennis van een BSN is absurd, want hoewel het "shared" is (uit "shared secret") is het geen secret.

De enige reden om een beperkt aantal partijen toe te staan om het BSN te mogen verwerken, is Privacy. Want hoe meer organisaties het BSN verwerken, hoe betrouwbaarder tracking van individuën wordt.

Als BSN zo noodzakelijk is, gebruik het dan alleen voor echt noodzakelijke dingen. Niet alleen omdat het makkelijker is. Bijvoorbeeld om subsidie te slurpen.

De enkele andere reden is, is dat BSN ver voorbij de huidige bubbel van persoonlijke informatiebescherming is, maar dat dat sommigen zeer goed uitkomt omdat ze er zelf geen last van hebben.

Je BSN vermelden op je website als onder andere ZZP'r is al jaren wettelijk verplicht. Ga ergens anders zeuren over wat werkelijk verstandig is. Onder andere bij politieke partijen die hier nog steeds voorstander voor zijn. Alsmede niets doen aan andere BSN nummers uitgeven.

>> Authenticatie middels kennis van een BSN is absurd, want hoewel het "shared" is (uit "shared secret") is het geen secret.


Vertel dit maar eens aan de duizenden bedrijven in vooral de zorg, die een BSN (vaak telefonisch) gewoon accepteren als een token van vertrouwen.

Ring ring, zorgverzekeraar ja?
Ja hallo, hier Jantje Voorbeeld, ik wilde de betaalstatus van mijn laatste declaratie checken maar mijn laptop/apparaat is kapot dus ik denk bel effe.
Verzekeraar: uh ok , uw gegevens aub
> geeft gegevens
Uh ja ik zit midden in een < probleemsituatie > < kan niet authenticaten whatever > maar ik weet mijn BSN uit mijn hoofd en het gaat om de behandeling aan mijn linkerteen.
Verzekeraar: uh ok Ik kijk wel effe (altijd bereid te helpen) , wat is uw postcode , dob en BSN ?
> geeft gegevens
Verzekeraar: ik zie geen behandeling aan uw voet
Uhh is die nog niet binnen bij u? Wat is de laatste behandeling die is gedeclareerd, zodat ik weet wat openstaat?
Verzekeraar: uh ik zie iets over een kliniek voor penisvergroting vorig jaar Augustus
> aha , maar dat is toch al afgehandeld, financieel?
Verzekeraar: lijkt het wel op , heeft u misschien gegeven X-Y zodat ik nog wat kan nakijken?
Uhh ja maar het is niet niet nodig, ik vermoed dat de declaratie van de podotherapeut niet is aangekomen. Ik verstuur hem wel opnieuw
Verzekeraar: prima, nog iets waar ik u bij kan helpen?
> nee dank u


Goed, dus we weten nu dat Jantje sinds Augustus een grotere schlong heeft. Elk bitje helpt, zoals een adres, dob en dus ook je BSN.

Wie zijn of haar medisch dossier bij een ziekenhuis wil inzien, gebruikt daar nu al het DigiD voor. Voor doen van zaken met een zorgverzekeraar heeft men ook nu al het DigiD nodig. Nog niet alle zorginstellingen gebruiken het DigiD.

Eindelijk iemand met het juiste commentaar. Het probleem is hier dat we veel te veel waarde hechten aan een BSN. Een uniek nummer per inwoner is een prima middel om gegevensverwisseling tegen te gaan en dan ook nog eens beveiligd tegen een typefout middels de 11-proef.
In landen als Zweden is het BSN ook gewoon openbaar; kun je gewoon opzoeken, inclusief iemand RDW gegevens, inkomen etc.
Openbare informatie is veel moeilijker om te misbruiken; juist omdat ze openbaar zijn.

Het stoppen van gebruiken van een BSN bij zorg instellingen; wat gaat dat precies oplossen? Het vergroot de kans op gegevensverwisseling (toch vervelend als jij onterechte diagnose krijgt van iets wat je niet hebt; of erger nog jou diagnose wordt aan een andere patient gekoppeld), en dat nieuw-bedachte zorg identificatienummer is dan ook weer gewoon gevoelig voor lekken en een (in)direct persoonsgegeven.

Je doet net of dit een tegenstelling is maar dat is het niet. De uitdrukking “niet in beton gegoten” wil enkel zeggen dat we het beste in de toekomst anders kunnen regelen. Maar dat laat onverlet dat het tot nu toe verplicht is.

In plaats van het wiel opnieuw uit te vinden, kunnen de politiek, Belastingdienst en de de ICT in de gezondheidszorg in Nederland beter leren van de wetgeving en toegepaste techniek in Finland, dat in 2021, na een grootscheepse dataroof bij een GGZ-instelling, een wijziging van het BSN-nummer van de Finnen mogelijk heeft gemaakt.

https://www.security.nl/posting/677744/Finland+maakt+aanpassen+bsn+eenvoudiger+voor+slachtoffers+datalek

Het uiteindelijke gebruik van een BSN was bedoeld voor zowel identificatie OF anoniemisering.
Maar als jegelijktijdig identificatie EN anoniemisering gaat willen, wil je iets tegenstrijdigs.

Dus ja, laten we weer eens opnieuw een nieuw nummer optuigen, met dezelfde doelstelling als de vorige faal!

Je spreekt niet de waarheid. Ik heb bij het doen van zaken met mijn zorgverzekeraar niet mijn DigiD nodig. Dat kan ook niet, want ik heb mij nooit aangesloten bij DigiD. Ik gebruik gewoon mijn klantnummer bij de zorgverzekeraar.

Je spreekt jezelf ook tegen. Ik heb het recht om mijn medische dossier in te zien bij een zorginstelling, ook bij een ziekenhuis, ook als ik geen DigiD heb. De laatste keer dat ik contact had met een zorginstelling, was mijn DigiD niet nodig. Dat is al wel een tijdje geleden. Als een ziekenhuis het nu verplicht zou stellen, zou dat in mijn geval tot een juridische procedure leiden en mogelijk ook een tuchtrechtelijke procedure.

Waarschijnlijk ben je zo'n digitaliseringslobbyist die het met de waarheid niet zo nauw neemt.

Nee, het is alleen verplicht voor "zorgaanbieders, indicatieorganen en zorgverzekeraars", conform de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens). Niet voor een laboratorium dat testjes uitvoert. Men (de minister, artsen e.d.) probeert zichzelf wijs te maken dat het voor laboratoria ook verplicht zou zijn, door het begrip "zorgaanbieder" op een onzinnige manier op te rekken. Als een arts een boekhoudfirma inschakelt, is die firma niet opeens een zorgaanbieder. Zorgaanbieders zijn alleen mensen of instanties die zelf zorg aanbieden, en daarvoor zelf met cliënten of patiënten een behandelingsovereenkomst aangaan, conform de WGBO (Wet op de geneeskundige behandelingsovereenkomst, een deel van het burgerlijk wetboek).

Zorg mag door een arts, op grond van diens beroepseed, niet aan een patiënt geweigerd worden als de patiënt eist dat die arts zich persoonlijk aan zijn of haar beroepsgeheim houdt. De arts mag dus niet zeggen: "Ik weiger u te behandelen als u mij niet toestaat uw medische en andere persoonsgegevens te delen met de concerndirectie van mijn ziekenhuisketen, de laboratoria van Eurofins, een Zweedse ICT-firma en de firma's Microsoft en Google."

Dat is echter wel hoe heel veel artsen hun patiënten de afgelopen jaren in de praktijk hebben gechanteerd, in flagrante strijd met hun beroepseer.

Goed om te zien dat dit onderwerp zo in de belangstelling staat.

Je kunt echter het (verplichte) BSN met hashing prima gebruiken als onderdeel van een pseudoniem. Het schoolvoorbeeld van Privacy Enhanced Technology is om een tabel met NAW, incl. BSN + medische data te splitsen.

Je zet dan de NAW, BSN, Salt-waarde in tabel 1 en
Medisch pseudoniem + medische data in tabel 2

De functie om met data in tabel 1 het Medisch pseudoniem te genereren beperk je tot die groep met "need to know".

Het BSN in tabel 1 zou je nog verder kunnen afschermen door die met andere data te hashen naar een BSN pseudoniem.
NAW is in deze situatie mogelijk te vervangen door een aanvraagnummer met identificatie van de aanvrager, als de aanvrager altijd het onderzoeksresultaat doorgeeft aan de patient.

Op die manier voldoe je aan de eis om het BSN te gebruiken en kan je met dataminimalisatie de impact van een datalek voor beide tabellen zo klein mogelijk maken. Ik sluit niet uit dat er nog slimmere mogelijkheden te bedenken zijn.

Laten we ook de bal neerleggen waar die hoort: de tweede kamer wou ferm tegen fraude optreden, dus moest altijd de identiteit van de patient herleidbaar zijn zodat je altijd kon vaststellen wie fraude pleegde. Hier zal de tweede kamer weer aan de bak moeten om een wetwijziging goed te keuren.

Ook is het goed om dit soort discussies rekening te houden met tijd: achteraf stel je altijd vast wat je vroeger fout gedaan hebt, terwijl dat toen goed was, omdat de GDPR bijvoorbeeld nog niet bestond. Het probleem in dit geval ontstaat bij de politiek, want hoe snel wil die een wetwijziging doorvoeren terwijl geen tweede kamerlid hierdoor zijn/haar zetel kan houden?

laten we het BSN voor wat het eigenlijk is. Het is enkel een uniek nummer zodat we weten dat lab-uitslag van meneer A is en niet van meneer B alhoewel ze dezelfde naam en geboortedatum hebben.

Maar dat moeten we wel juist geen authenticeren. Nu loop je een ziekenhuis of apotheek binnen en met mijn geboortedatum heb ik me al geautenticeerd. Of één van de reageerders hierboven kan via de telefoon zijn verzekering opzeggen. Dan moeten we dat allemaal gaan doen zoals het hoort, pas na echte authenicatie het BSN gebruiken om data aan mij te koppelen.

Dan kan een hacker niks met alleen een BSN.
Ter vergelijking, wat kan een hacker met alleen mijn bankrekeningnummer? Als het goed is geen geld opnemen. Ze kunnen wel geld storten, en dat vind ik geen probleem.

Technisch zijn er meerdere wegen die naar Rome leiden.

Het probleem zit hem eerder in de beleidsmedewerkers (oa rijksambtenaren) die de overkoepelende voorstellen en ontwerpen moeten maken, en dit niet willen of kunnen bedenken.
Die voorstellen moeten gedetailleerd genoeg zijn dat individuele bedrijven er niet teveel van af kunnen wijken voor data-uitwisseling, en abstract genoeg dat de plannen mee groeien in een veranderende samenleving.

Daar lijkt het fout te gaan, door nu bv persoonsgegevens en BSN verplicht overal mee mee te moeten sturen.


Maar dat zie je ook bij (belasting)wetgeving die bv werkgevers, banken en hotels verplicht om kopietjes van IDs te maken en te bewaren.
Het BSN (en andere personalia) worden nu te pas en te onpas overal opgeslagen. De overheid doet daar zelf ook vaak aan mee. Maar er is geen enkel mechanisme om misbruik van die data te voorkomen.

Bv door niet alles aan 1 BSN-nummer (incl personalia) te koppelen als dat niet absoluut noodzakelijk is. En voor dit lab was dat niet absuluut noodzakelijk (op mogelijk domme wetgeving na)


En bv door makkelijke uitgifte van officiele one-time-use exemplaren van je ID, gebonden aan een specifiek doel, locatie en tijd. Zodat misbruik en hergebruik moeilijk/onmogelijk wordt.

Dan maak je het met technische maatregelen technisch nog ingewikkelder. De les die geleerd moet worden is juist: maak het simpeler, kleinschaliger en decentraler. Want het zijn mensen die ermee moeten werken. Mensen die zich niet meer verantwoordelijk voelen als het grootschalig, ingewikkeld en voor hen persoonlijk niet inzichtelijk meer is. Dan worden ze slordig en gaan ze fouten maken of even wat minder opletten of de beveiliging wel goed geregeld is.

Hehe. Eindelijk iemand die het snapt.
En ja ik ben een andere Anoniem.

Slecht plan. Het grootste probleem met het BSN is dat het als een soort wachtwoord wordt misbruikt.

DAT IS ABSURD want:
• Het was er nooit voor bedoeld;
• Veel te veel partijen kennen het (wel "shared", geen "secret");
• Het wordt "as is" opgeslagen (niet gehashed zoals wachtwoorden);
• • Terecht, want het aantal mogelijke BSN's is véél te klein;
• • Terecht, want het wordt verder verwerkt als identificerend gegeven;
• Vanwege het AitM-risico is het nog stommer bij authenticatie op afstand.

Nb. AitM = Attacker (of Adversary) in the Middle, de persoon (de derde hond) "op de verbinding" die zich wederzijds voordoet als de andere partij en er met de kluif vandoor gaat.

Aan o.a. Anoniem 14:58: eerder heb ik een manier beschreven waarop BSN's privacy-vriendelijker gemaakt kunnen worden, maar wat je ook doet: een noodzakelijkerwijs, ter verdere verwerking, gedeelde identifier zal NOOIT geschikt zijn als authenticatiemiddel - zeker niet op afstand.

Want mensen vullen dat BSN-nummer (of andere technische oplossingen) met de hand in.
Controleren dat voor al die 450.000 items individueel nauwkeurig?
Of wordt dat door computerprogramma's gedaan, en dan maakt die"complexiteit" waar jij zo bang voor bent, gen ruk meer uit.
Die "complexiteit" breekt alles in stukjes op en versleutelt het. Juist om bij diefstal het MOEILIJKER te maken voor de dieven.

Maar dat gaat blijkbaar jouw pet al te boven.
Als jij het schoolvoorbeeld bent van de security offiver of programmeur in de zorg-IT, laten we dan de hele zorg maar downgraden naar papieren dossiers. Dat is veiliger dan de methode die ze nu gebruiken.
Of in ieder geval lekt er dan minder als het fout gaat.

Ik wel. Jouw bankrekeningnummer is een identificerend gegeven.
In een uitkeringssituatie, bijvoorbeeld onder de Participatiewet, roept elke ongebruikelijke bijschrijving meteen vragen op bij de controlerende instantie (hier: gemeente), zeker bij het jaarlijkse heronderzoek - als het al niet meteen door de bank wordt doorgegeven aan de gemeente ivm de anti-witwaswet (door deze wet kan een ongebruikelijke bijschrijving ook problematisch worden voor iedereen die een bankrekening heeft: ongebruikelijke betalingstransactie, direct verdacht).
Een bijschrijving van bijvoorbeeld € 15.463,2 brengt een uitkeringsgerechtigde meteen in een verdedigingspositie. Ga jij maar eens uitleggen aan de gemeente dat jij géén katvanger brengt en dat jij géén idee hebt waarom dat geld op jouw bankrekening gestort is. Succes met het doorbreken van het direct gemobiliseerde aanvalsfront van de controlerende instantie, die sowieso een negatieve benadering hanteert naar uitkeringsgerechtigden (geld van de belastingbetalers) en haar zwaartepunt heeft bij fraudebestrijding.

Zie Zaanstad als voorbeeld hoe het mis kan gaan;

https://www.universiteitleiden.nl/in-de-media/2025/08/inwoners-zaanstad-voelen-zich-opgejaagd-door-gemeentelijke-controles

Techno-wensdenken


Je komt dan in een technische wedren terecht tussen systeembouwers en vindingrijke criminelen, waarin de eindgebruikers en datasubjecten als derde en vierde, d.w.z. zwakste partijen steeds het nakijken hebben en de dupe worden. Want die overzien niets meer en zijn machteloos, een speelbal.


Ik ben het eens met @Anoniem op 27-08-2025 om 20:25 uur. Steeds proberen mensen te denken dat het alleen een technisch probleem is, alsof het gaat om technieken die los van mensen functioneren. Als de techniek maar "goed" is, dan komt het goed. Dit is een vorm van wensdenken. Eigenlijk proberen ze op die manier zichzelf weg te denken uit de situatie. Ik vermoed dat hier een diepe angst achter schuilgaat. De angst om als mens naakt, zonder techniek, in het aanzicht van de werkelijkheid te staan.

Dus kiest men voor een vlucht vooruit door steeds nieuwe, ingewikkeldere technieken te bedenken, waarmee de kern van het probleem, ofwel de eigenlijke pijn, niet wordt opgelost.

M.J.

Dit voorkom je toch niet door het bankrekeningnummer als iets geheims of bijzonders te bestempelen zoals we dat met het BSN doen? Zorg dat het BSN te veranderen is eventueel (maar zorg dan voor een manier om aan de achterkant de link met het oude nummer bij te houden) en doe aan correcte autenticatie.

Er is in die genoemde gevallen een ander probleem dat aangepakt moet worden (hoe een gemeente controles uitvoert tbv opsporing criminaliteit, fraude of oneigenlijk gebruik van gemeenschappelijke middelen enz) en dat doe je niet door een nummertje te verheffen tot iets wat het niet is.

OK. Als complexiteit onwenselijk is, dan maar terug naar papieren dossiers. Geschreven met balpoint of potlood.
Bezorgd dmv koeriers of PostNL bij data uitwisseling tussen huisarts, labs, ziekenhuizen, en apothekers.

[s]
What could possibly go wrong in that setup :-)
[/s]

Je tuimelt van het ene uiterste in het andere. Ik ben niet tegen computers of het gebruik daarvan. Maar om de privacy van patiënten voldoende te beschermen, is een decentrale opslag van medische persoonsgegevens, inclusief daaraan gekoppelde persoonsgegevens, vereist. En is er ook echte dataminimalisatie vereist.

Je suggereert dat ik "complexiteit" in het algemeen onwenselijk zou vinden, wat ik niet vind. Sommige vormen van door mensen gebouwde complexiteit vind ik onwenselijk, namelijk als ze afbreuk doen aan onze mogelijkheden om goed en op een humane manier te leven, met respect voor onze grondrechten en menselijke waardigheid.

Bovendien lijk jij te denken dat er niets fout mag gaan, en dat dit bereikt zou kunnen worden door middel van een perfectionering van (steeds ingewikkeldere) technische systemen. Dat is een illusie. Dat is het wensdenken waar ik het in mijn vorige post over had.

M.J.

Daar gaat mijn reactie niet over.
Mijn reactie heeft uitsluitend betrekking op wat @Anoniem zegt, namelijk dat hij het geen enkel probleem vindt als wie dan ook geld op zijn rekening stort.

In Nederland is er een niet-centrale opslag van medische persoonsgegevens. Misschien is het niet decentraal genoeg voor jou. Naar mijn mening is juist de complexe puzzel van systemen die aan elkaar geknoopt moeten worden zodat zorg verleend kan worden een groot risico. Er zijn teveel partijen die allemaal hun beveiliging op orde moeten hebben. Dat lukt niet en daarom dat er steeds weer een datalek is met een deel van de gegevens van een deel van de patiënten.

Uiteraard is er een risico om op 1 paard te wedden (een centraal systeem) met een potentiële grote impact als het dan toch mis gaat. Naar mijn mening is een centraal systeem wel beter en veiliger te beheren dan de chaos die we nu hebben.
Er zijn landen met een centraal geregeld patiëntdossier zoals Noorwegen.

Een voorbeeld. Op dit moment beheert één organisatie, Calculus (Topicus) medische gegevens van meer dan 80% (misschien inmiddels al wel meer dan 90%) van de Nederlandse huisartspatiënten in het systeem VIP-Live. Dat systeem wordt dagelijks via internet geüpdate vanuit duizenden huisartspraktijken. Dat is hoe gecentraliseerd het inmiddels is.

Het probleem is dat jij denkt vanuit het perspectief van een systeem of systeembeheerder. Ik denk vanuit het perspectief van het belang van de individuele burgers. Dat is het belang in dienst waarvan ook systeembeheerders zouden moeten denken en handelen.

Het is in het belang van individuele burgers dat zij de professionals (bijv. artsen) aan wie zij hun medische en daaraan gekoppelde andere persoonsgegevens verstrekken, kunnen vertrouwen, en dat die professionals ook in staat zijn om dat vertrouwen waar te maken. Dat kan alleen als die professionals zelf in control zijn en blijven over de gegevens die er aan hen zijn toevertrouwd. Dit kan worden gerealiseerd door het beheer over die gegevens zowel organisatorisch als technisch (wat in feite altijd aan elkaar gekoppeld is) bij die professionals te leggen, dus bij de behandelaars van de patiënten. Dan is er sprake van decentrale opslag.

Door middel van standaardisering (NIET centralisatie) van decentrale opslagsystemen kan de uitwisseling van gegevens dan veilig en efficiënt verlopen tussen zorgverleners die daadwerkelijk bij de behandeling van een specifieke patiënt betrokken zijn. Dit is in feite zoals het altijd georganiseerd was voordat er gecentraliseerde, digitale systemen op de markt werden gebracht.

Patiënten moeten bovendien de keus hebben om tegen een zorgverlener ofwel te zeggen: "Ik heb vertrouwen in verzending van mijn gegevens via internet naar zorgverlener A in Nederlandse plaats B (of: Spaanse plaats C)." Ofwel om te zeggen: "Ik vind internet niet veilig genoeg, geeft u mij die gegevens maar op een USB-stickje of op papier, dan overhandig ik ze zelf aan zorgverlener A."

De oorzaak van de chaos die we nu hebben, is gelegen in de al tientallen jaren durende weigering van de overheid om artsen te faciliteren bij het standaardiseren van hun individuele informatiesystemen (HIS-systemen en dergelijke). Die weigering is niet toevallig. Daarvoor is bij de overheid gelobbied door de tech-industrie en de farma-industrie. Want die willen patiëntdata in handen krijgen om redenen die NIETS te maken hebben met het welzijn of de gezondheid van patiënten.

Het medisch beroepsgeheim en de Verklaring van Helsinki hebben lange tijd bescherming geboden aan patiënten. Nu willen de EU en de Nederlandse regering het medisch beroepsgeheim aantasten (dat noemen ze "inperken") en artsen dwingen om op dat punt hun beroepseed te breken en mee te doen aan o.a. EHDS.

Wil jij het grondrecht van patiënten op medische privacy intact laten? Wil jij het grondrecht van patiënten op zelfbeschikking m.b.t. het deelnemen aan medisch onderzoek intact laten?

Toevallig weet ik iets over de manier waarop er in enkele noordelijke landen met privacy en gegevensbescherming wordt omgegaan. Er is daar nog altijd op veel plekken sprake van een ontstellende naïviteit ten aanzien van privacy en gegevensbescherming, ook al zijn er in de afgelopen jaren na wat schandalen al enkele gedeeltelijke lessen geleerd. Denk bijvoorbeeld aan het Vastaamo-hack in Finland (https://www.security.nl/posting/677744/Finland+maakt+aanpassen+bsn+eenvoudiger+voor+slachtoffers+datalek en https://www.security.nl/posting/858204/Slachtoffers+datalek+Finse+psychotherapiepraktijk+willen+hogere+vergoeding).

Bovendien heerst in die landen nog altijd het idee dat je privacy goed gewaarborgd is als de overheid alles over je privéleven weet. En de overheid is in die landen zeer breed en groot. Het idee dat er onder de talloze overheidsmedewerkers ook rotte appels kunnen zitten, dat is iets waar men als het even kon zo min mogelijk aan dacht, het werd beschouwd als een onprettig en bijna onfatsoenlijk idee. Het uitgangspunt was een soort officieel vertrouwen in het fatsoen van iedereen, zeker bij de overheid, in combinatie met een paternalistische opvatting dat de overheid weet wat goed is voor burgers. Het hele begrip van wat een "individuele" burger is, is daar wat anders.

Inmiddels is dat daar ook wel een beetje aan het kantelen, nu ze wat meer in contact komen met de grote boze buitenwereld, inclusief bepaalde delen van hun eigen "binnenwereld" waar ze voorheen liever niet zoveel aandacht aan schonken. Denk aan het zeer actuele schandaal over het gedwongen inbrengen van onvruchtbaar makende spiraaltjes bij de helft van de Groenlandse vrouwen, om de Groenlandse bevolking klein te houden (Denemarken, deze praktijk ging door tot na 1991, toen Groenland zelf beheer kreeg over zijn gezondheidszorg). Of het wegrukken van pasgeboren babies van uit Groenland afkomstige moeders, omdat die in de ogen van de Deense overheid niet geschikt zijn voor het ouderschap (dit mag niet meer sinds... 2025, maar gebeurde deze maand toch nog een keer, in Höje Taastrup. En oh ja... bij Deense moeders mag dit nog wel...).

Noorwegen en andere Scandinavische landen zijn echt anders dan Nederland en daarom niet geschikt als voorbeeld voor Nederland als het gaat om privacy. Van Nederlanders kun je veel naïviteit op het gebied van privacy verwachten, maar niet helemaal zoveel als van Denen, Noren, Zweden of Finnen.

M.J.

@ EersteEnigeEchte M.J. - EEEMJ:

ah ja VIPLive. Daar is idd wel wat van te zeggen, en ik ben het met je eens dat dat komt door het gebrek aan standardisatie en sturing door de overheid. Of dat door gelobby komt van tech- en farma-industrie, het zou best kunnen. De link met farma zie ik ff niet.
Uiteraard bedoel ik met centralisatie niet dit soort monopolistische centralisatie, maar juist gebaseerd op open standaarden. Als je het goed doet, kun je ook decentraal werken. Laat de patientdossiers in het lokale systeem van de zorgaanbieder staan of in xIS smaakje A of B, door standardisatie zou je in theorie met elkaar data moeten kunnen uitwisselen. Blijft dan nog wel dat de informatiebeveiliging op tig plekken goed geregeld moet zijn. Vandaar dat ik neig naar centralisatie - met als grote risico dat het dan echt goed fout kan gaan natuurlijk.

Nou ik probeer te denken aan risico's. De chaos van nu is erg risicovol naar mijn mening. Er zijn te veel plekken waar het mis kan gaan. Risico's zijn niet goed voor de individuele burgers, dus ik denk ook aan de burgers. Denk ik ;)

Eens. Dan komt er wel een disclaimer bij te staan, weet ik zeker. "Gebruik op eigen risico" o.i.d.

Helaas zijn er overal rotte appels. In NL hebben we misschien wel minder zicht op rotte appels (en mogelijkheden om ze te ontdekken) door de versnippering van systemen en bedrijven die allemaal een rol (moeten) spelen in ons gezondheidssysteem.


W.b. de Nordics, ik neem je kennis mee. Ik herken wel wat, maar dat ze zo ontzettend naïef zijn lijkt op het eerste gezicht overdreven. Wel herken ik een andere kijk op privacyzaken, maar waardoor dat komt, misschien weet ik het ooit (en blijkt het naïviteit te zijn, kan best).

Mijn indruk is dat veel mensen (ook hoger opgeleiden) daar in het noorden niet op alle punten, maar wel op sommige punten naïef zijn of waren. Met name als het gaat over de goedheid / betrouwbaarheid van de eigen overheid. Enerzijds is dat vertrouwen voor een deel ook wel gerechtvaardigd, omdat daar nog wat hogere fatsoensnormen en gemeenschapszin zijn dan bijvoorbeeld in Nederland. Maar er zit ook een stuk "sociaal-psychologisch verplichte naïviteit" in. Ik weet niet hoe ik het beter onder woorden kan brengen.

Tot enkele jaren geleden leken ze ook heel naïef over het feit dat als gegevens nogal vrij voorhanden waren in het eigen land, deze gegevens ook terecht konden komen in andere landen met veel minder betrouwbare overheden en veel gevaarlijkere data-cowboys en data-criminelen. Ik heb daar wel eens iets over gezegd, en dan keken ze me hoofdschuddend aan alsof ik niet begreep hoe goed zij het geregeld hadden in hun eigen land. Het leek alsof ze dachten dat ze veel geïsoleerder waren dan ze inmiddels feitelijk waren, in de tijd van internet. Ik denk dat ze op dit tweede punt wel een kanteling hebben gemaakt, waarschijnlijk sinds 2020 (Covid-crisis leidde tot meer "crisisbewustzijn" überhaupt) maar zeker vanaf 2022 (aanval op Oekraïne en besluit Zweden en Finland om bij de Navo te willen, bredere bewustwording van gevaren hybride oorlogsvoering).

Ik heb wel eens met een technisch (ICT) zeer kundige noorderling gesproken die vertelde dat hij ooit een persoonlijke crisis had doorgemaakt mede omdat mensen in zijn omgeving bepaalde dingen niet door leken te hebben en ook niet door wilden hebben. Hij had daardoor ook een soort sociaal isolement ervaren, alsof hij niet meer dezelfde wereld kon delen met zijn sociale omgeving. Hij was daar weer uitgekomen door te besluiten dat privacy op bepaalde punten gewoon niet meer te redden viel en zich er niet langer druk over te maken.

Zoals je zult begrijpen, had ik gemengde gevoelens bij deze "oplossing" die hij voor zichzelf had gevonden, maar ik begreep het wel en geloofde ook dat het voor hem persoonlijk het beste was. Het kan gewoon zwaar zijn om psychologisch te overleven als je ergens behoorlijk anders in staat dan de maatschappij om je heen.

Ze gaan daar ook anders om met "regels" (inclusief privacy-regels) dan wij hier in Nederland, vooral ten noorden van de brug tussen Denemarken en Zweden. Op zich hebben ze veel regels. Enerzijds zijn hun regels vaak vager en algemener geformuleerd, en laten dus veel persoonlijke beslissingsruimte (en dat wil ook zeggen: ruimte voor willekeur). Anderzijds hebben ze meer respect voor bepaalde duidelijke regels dan wij hier. Als je ziet hoe ze daar op totaal lege straten voor rode voetgangerslampjes staan te wachten, puur omdat zo'n lampje op rood staat, ook al heeft het verder geen enkele zin, dan heeft dat iets ontroerends. Wat ze niet fijn vinden, is mensen die assertief klagen en zeuren. Wie zeurt, kan het schudden. Het devies is: "Niet klagen maar dragen." Dus als je bij wijze van spreken gaat zeuren: "Waarom mogen wij niet oversteken als de straat helemaal leeg is?" dan kun je geen positieve reactie verwachten. Het is voor hen een kwestie van fatsoen om je publiekelijk aan zo'n regel te houden. Wat er in de achterkamertjes gebeurt, is daarentegen weer een ander verhaal...

In sommige gevallen trekken ze zich ook niets aan van EU- of EER-regels, dan volgen ze gewoon hoe ze het zelf geregeld hebben.

Ik denk dat "de Nordics" op het gebied van privacy het één en ander van Nederland en zeker ook van in Nederland gemaakte fouten kunnen leren. Maar ik betwijfel of dat in de realiteit zal gebeuren. Het is bijvoorbeeld niet volledig onmogelijk dat ze daar in meerderheid hun semi-verplichte vertrouwen in de eigen overheid op een bepaalde manier gaan vertalen naar vertrouwen in EU-instanties. Omdat dat beantwoordt aan hun diepgevoelde psychologische behoefte om te kunnen geloven dat er ergens een betrouwbare overheid is. We gaan het zien.

M.J.

@ M.J.
Dank voor je uitgebreide antwoord.