Ik woon in Zweden en het ligt wat anders met betrekking tot de gevolgen.

BSN is publiekelijke info in Zweden, je kan het eenvoudig op zoekmachines voor mensen vinden. Sterker nog, veel meer informatie is gekenmerkt als publiekelijke info, waaronder adressen, vorige adressen. strafbladen, naam partner en kinderen (indien ouder dan volgens mij 16 of 18), welke auto's je hebt, enzovoorts. Dus het feit dat dit nu gelekt is, zegt helemaal niets. Je gebruikt namelijk BankID voor alles, wat een app is zoals DigiD. Zonder toegang tot deze app (middels MFA), kun je niets. Daarom ligt het aantal fraudegevallen ook zeer laag in Zweden.

Ik als security persoon heb bijna wekelijks nog gesprekken met Zweedse vrienden en collega's hierover en dat zij niet inzien hoe naïef het is om deze informatie openbaar te hebben staan.

Ook en zelfs inkomen is een openbaar gegeven in Zweden, en zoals Anoniem 10:21 al schrijft is er niets geheims aan de gegevens. Van een mug wordt een olifant gemaakt.

Buiten het feit dat er niets geheim is en dit schijnbaar via BankID zo op het eerste goed geregeld lijkt te zijn is dit wel een zorgelijke situatie. Waarom al deze data zo in het openbaar? Dit betekend simpelweg dat iemand die iets kwaad wil alleen nog maar iets hoeft te proberen met die BankID. Dat is vroeg of laat gewoon vragen om problemen.

Eigenlijk zou je ondanks dat je niets kan zonder BankID nog steeds dit soort informatie allemaal niet zichtbaar willen hebben. Denk aan stalking of iets dergelijks. Ook kan er een profiel van jouw gemaakt worden met al deze informatie voor andere doeleinden. Welke auto bezit je? Hoe duur is die? Welke wijk woon je. Ik kan nu al een aantal bijzondere dingen bedenken met kwaad in de zin met al deze gegevens.

Zie ook de laatste reacties op 28-08-2025 onder https://www.security.nl/posting/902237/ n.a.v. het datalek bij Clinical Diagnostics over hoe het geregeld is in "de Nordics". Daar komt ook naar voren dat er in die landen sprake is van naïviteit.

Of hebben ze gelijk? Je geeft zelf aan dat je zonder toegang tot BankID helemaal niets kan. Klopt mijn indruk dat de geheim te houden DigiD in Nederland meer problemen geeft dan de openbare BankID in Zweden?

Ik ben ooit tegengekomen dat degene die DigiD bedacht heeft helemaal niet vond dat die geheimhouding nodig heeft. Voor zover ik zie hebben we er een probleem mee omdat om wat voor reden dan ook men een getal van 9 cijfers is gaan behandelen alsof het niet te kopiëren of te onthouden of na te maken zou zijn, en moeten we er nu iets mee doen dat eigenlijk onmogelijk is: het volkomen geheim houden terwijl we het tegelijk aan diverse partijen moeten verstrekken en het leesbaar is voor wie je identiteitsbewijs maar moet controleren. De kwetsbaarheid is niet de eventuele openbaarheid maar die idiotie van het behandelen alsof dat goed afgeschermd kan worden.

Ik vind ze in Zweden opmerkelijk ver gaan met wat er allemaal openbaar is, maar met DigiD/BankID zouden ze wel eens groot gelijk kunnen hebben.

Met DigiD of BankID kan allerlei informatie over personen worden ontsloten en gekoppeld. Niet alleen formeel (toegang tot databestanden), maar ook informeel (informatie die al op enige wijze publiekelijk beschikbaar is verwerken).

Als er nog maar één verdedigingsmuur is tegen het op straat liggen van zo'n beetje alle persoonlijke info (namelijk de beveiliging van DigiD of BankID), dan is dat vragen om een privacy-ramp. Een beetje zoals de Titanic waarbij men vertrouwde op één enkel mechanisme dat het schip "onzinkbaar" zou maken, namelijk de opdeling in waterdichte compartimenten. Men hield er geen rekening mee dat één enkele ijsberg al die compartimenten in één keer zou kunnen ontsluiten. Men vertrouwde op de "nieuwe technologie" van het schip de Titanic.

Als je er vanuit gaat:
-- dat (enig onderdeel van) de staat of de overheid nooit een bad actor kan worden (dus dat fascisme, staats"communisme", surveillance-technocratie en niet-integer overheidshandelen niet bestaan);
-- dat er door grote tech- en data-bedrijven of hackers nooit zal kunnen worden binnengedrongen in systemen waarvoor dergelijke ID's gebruikt worden om op enige wijze misbruik te maken van die goudmijn aan persoonlijke informatie daarachter;
-- dat geen bank, verzekeraar of zorginstelling ooit een onzuiver dealtje zal sluiten met een overheid of een databedrijf; en
-- dat als zoiets toch gebeurt, de privacy-schade prima te herstellen zal zijn (dus dat het dark web niet bestaat en geheime databestanden van bepaalde overheidsinstanties, bedrijven en religieuze groeperingen ook niet bestaan);
-- etc. etc.

- Ja, dan zouden ze daar in Zweden inderdaad wel eens groot gelijk kunnen hebben. Maar dit zijn totaal onrealistische aannames.

De enige manier om persoonlijke informatie een beetje adequaat te beveiligen in de tijd van internet en big data, is door:
- ervaringen van en informatie over natuurlijke personen waar mogelijk niet te dataficeren;
- indien die toch wordt gedataficeerd, de verwerking ervan te minimaliseren;
- de verwerkte data decentraal op te slaan.

Het idee en de toepassing van één nummer waarmee alle informatie over een persoon kan worden gevonden en gekoppeld, ondermijnen elk van die drie cruciale manieren om het privéleven van mensen te beschermen.

M.J.

Wow - wat spreek jij jezelf tegen!

Is dat omdat er, in de basis, sprake is van TWEE verschillende problemen?

1) Identiteitsfraude (security);

2) Privacyrisico's (indirect soms ook leidend tot probleem 1).

Probleem 1) is het onvermijdelijke gevolg indien onterecht wordt aangenomen dat, indien twee partijen (de betrokken persoon en een "authenticerende" organisatie) - die beiden kennis hebben van IDENTIFICERENDE PERSOONSGEGEVENS van de betrokkene, die partijen dergelijke gegevens kunnen misbruiken voor AUTHENTICATIE (vaak op afstand - zowel van de betrokkene als van de "authenticerende" partij: "ik ben echt van X, anders zou ik uw gegevens niet kennen"). Hetgeen krankzinnig is: het gaat hierbij immers niet om "gedeelde geheimen" tussen maximaal 2 partijen (zoals zou moeten gelden voor wachtwoorden en TOTP shared secrets).

Probleem 2) heeft een heel andere oorzaak: indien kwaadwillenden (ook "legitieme" partijen, vaak commercieël - meestal ongeautoriseerd en/of zonder toestemming) kennis nemen van (vaak actief speuren naar) persoonsgegevens, kan dat tot een heel scala aan privacy-risico's leiden. Waaronder spam en/of gerichte advertenties. Dat soort partijen zijn dol op BSN's - niet omdat ze je grof willen oplichten, maar omdat een uniek nummer eenduidig dezelfde persoon identificeert - wat, bij tikfouten en andere schrijfwijzen van namen, en/of gewijzigde andere gegevens (gelogen geboortedatum, scheiding, verhuisd, nieuw e-mailadres, ander telefoonnummer t/m geslachtsverandering) dé perfecte identifier is om hetzelfde individu eenduidig te "herkennen".

Oftwel, probleem 2 is de ENIGE reden om BSN's door zo min mogelijk partijen te laten verwerken. Dát probleem 1 in de praktijk speelt is absurd - en kun je niet het "concept BSN" verwijten.

Buiten de bekende Scandinavische naiviteit (zie d eimmigratie) is het probleem dat deze landen een socialistishce hellhole zijn geworden,.
Het is absurd hoeveel persoonlijke informaie er verplicht publiekelijk bekend gemaakt MOET worden.

Ik vermoed dat dat er een groot datalek met BSN nummers in Nederland ook aanstaande is ergens in de komende 12 maanden... denk ook dat er veel gegevens van rijksambtenaren gelekt zullen worden , gezien de sfeer .....

Mijn voorspellingen komen meestal wel uit

IAAA. Identificatie word het persoonnummer voor gebruikt. Niet authenticatie...
De zorgen die de mensen hebben is de meer gemakkelijke kaartlegging binnen diverse organisaties incluis het feit dat gegevens als ziekteverlof op straat ligt. Dat is eigenlijk het enige en word gezien als gegevens voor staatsacteuren voor werving etc.

//Angelique

-- Geen hellhole, maar paternalistische fatsoensnormen --
Ik zie de Scandinavische landen (en ik ben er vaak geweest) zeker niet als "hellhole". In heel grote lijnen, en zonder in te gaan op verschillen tussen Scandinavische landen, een korte toelichting. Het is daar goed en ontspannen leven als je als persoon binnen bepaalde ongeschreven kaders past en je dienovereenkomstig gedraagt. Voor een deel gaan die kaders over wat we in Nederland "fatsoen" noemen, maar voor een deel gaan ze ook over je kop niet boven het maaiveld steken, want dat hoort daar op de één of andere manier ook bij fatsoen. Ondernemerschap wordt op zich gewaardeerd, maar niet disruptief (verstorend) ondernemerschap.

De overheid is er relatief paternalistisch (of maternalistisch), op een manier waarbij er relatief goed gezorgd wordt voor de autochtone, goed aangepaste middenklasse, en waarbij werklozen materieel gezien ook relatief goed worden verzorgd (in de winter kun je mensen daar niet buiten laten slapen want dan gaan ze dood), en de aanblik van bedelaars wordt daar, vanwege eerdergenoemd "fatsoen", als ietwat pijnlijk ervaren.

Maar dat overheidspaternalisme leidt er ook toe dat zodra iemand zich buiten die ongeschreven kaders wil begeven, er wrijving ontstaat met het ongeschreven systeem. Dan is niks meer makkelijk en "kan" er "helaas" niks meer, vanwege ongenoemde omstandigheden die ook bij gerichte navraag niet of nauwelijks worden toegelicht. Zodra men in Scandinavië de goodwill van ambtenaren of formeel commerciële dienstverleners verliest, komt men terecht in een soort kafkaëske situatie waarin men door een kasteel doolt zonder ooit de verantwoordelijke kasteelheer te bereiken.

-- Relaxte dienstverlening --
Het op zich goede en prettige gevoel van mensen dat ze persoonlijke waardigheid hebben, leidt ook tot een meer ontspannen omgang met het begrip "dienstverlening". In de horeca is die daar bijvoorbeeld meestal trager en minder alert dan in Nederland. Een klant mag blij zijn als een horeca-medewerker na enige tijd aandacht aan hem schenkt, en van de klant wordt in beginsel verwacht dat die niet alleen beleefd is, maar ook dankbaar dat de horeca-medewerker hem of haar opmerkt. Dit is overigens een trend die ik in Nederlandse horeca de afgelopen vijftien jaar ook waarneem, ook hier is de klant op sommige plekken minder belangrijk aan het worden en de alertheid van bedienend personeel minder groot - men wordt in beslag genomen door smartfoons en een algehele "dromerigheid".

Maar als een klant niets uitzonderlijks vraagt, kan hij er in Scandinavië van uitgaan dat hij op enig tijdstip gewoon aan de beurt komt. Wie zelf geen haast heeft en niets bijzonders verlangt, heeft dus geen probleem.

-- Informatie(on)veiligheid: Scandinavië als dorp --
Als het gaat om informatie(on)veiligheid, dan is het traditionele, verplichte publiekmaken van allerlei persoonlijke informatie in de Scandinavische landen officieel, en ook oprecht, bedoeld om burgers veiliger te maken. Als niemand anoniem is, dan kun je elkaar niet bedonderen zonder dat dit achteraf consequenties heeft, en dus word je gestimuleerd om je "fatsoenlijk" te gedragen. Daar is dat fatsoen weer!

"Privacy" is in die opvatting niet dat men jouw persoonlijke informatie niet kent, maar alleen dat je niet wordt lastig gevallen in je persoonlijke levenssfeer. Een beetje zoals in een geïsoleerd dorp: men weet en vermoedt heel veel van elkaar, maar men laat elkaar met rust. Als iemand zich fatsoenlijk gedraagt, kan diegene in nood burenhulp verwachten, op basis van nabuurschap èn op basis van goodwill. Als iemand zich onfatsoenlijk gedraagt, zal dat subtiele consequenties hebben, die bij voorkeur nooit hardop zullen worden benoemd.

Zo is het in Denemarken lange tijd door het bestuur en het overgrote deel van de bevolking niet hardop benoemd dat de helft van de Groenlandse vrouwen van overheidswege tientallen jaren lang onvruchtbaar werd gemaakt om de Groenlandse bevolking klein te houden. Dit met de gedachte dat Groenlandse vrouwen op de één of andere manier niet in staat waren om hun kinderen goed op te voeden volgens Deense normen. Inmiddels is dat schandaal wel boven water, mede vanwege de geopolitieke omstandigheid dat Trump Groenland zou willen afpakken van het koninkrijk Denemarken. Dat heeft de Groenlanders een betere onderhandelingspositie gegeven ten opzichte van de Denen en hun Deense "fatsoensnormen" die zowel de onrechtvaardige praktijk met zonder toestemming geplaatste spiraaltjes als het zwijgen daarover kennelijk vele jaren lang mogelijk maakten. In Zweden en Noorwegen speelt de manier waarop er in het noorden van die landen is omgegaan met de Samische bevolking.

Dat de mogelijkheden voor misbruik van publieke informatie over personen in het tijdperk van internet dramatisch zijn toegenomen, wilde lange tijd nog niet zo doordringen tot het bewustzijn van veel Scandinavische mensen, omdat dit van hen zou eisen dat zij hun positieve, optimistische wereldbeeld voor een deel zouden loslaten, terwijl zij aan dat wereldbeeld juist gehecht waren omdat het hen rust en een veilig gevoel verschafte, en hen ook hielp om zelf fatsoenlijk te blijven handelen. Het gaat hier dus om veel meer dan alleen wat formele "regels". Het gaat om een diepgeworteld cultureel systeem. De afgelopen tien jaar (met name sinds de vluchtelingencrisis van 2015, de coronacrisis van 2020 en het begin van de Oekraïne-oorlog in 2022) lijkt hier wel een behoorlijke verandering in te zijn gekomen.

-- Een firewall rond het internet van de EU? --
Als je een vergaande internet-firewall om Scandinavië (of de Noordse landen, als je Finland erbij rekent) heen zou leggen, dan zou dat culturele en juridische systeem met het publiek maken van informatie ter beveiliging van burgers misschien nog wel kunnen werken. Dan zou je dus de sociale controle van een dorp daar kunnen behouden. Maar het idee om een dergelijke firewall aan te leggen, is niet realistisch. Daarvoor is Scandinavië sociaal-cultureel en economisch te veel verbonden met de rest van Europa en de wereld.

Dus nu zien autochtone Scandinaviërs zich genoodzaakt om iets te doen wat ze akelig vinden, namelijk het vertrouwen opgeven dat andere burgers in beginsel op een fatsoenlijke manier met hun persoonlijke informatie zullen omgaan. Omdat een burger, bedrijf of overheid in de VS, Rusland, Malta, Senegal of Brazilië zich helaas niets hoeft aan te trekken van Scandinavische (fatsoens)tradities wanneer hij/zij/het via internet toegang krijgt tot informatie over Scandinavische personen.

Met name in Zweden en Denemarken is daarnaast inmiddels ook sprake van aanzienlijke bevolkingsgroepen, bestaande uit kinderen en kleinkinderen van immigranten, die nooit deel zijn gaan uitmaken van die mainstream-cultuur, en die het soort traditioneel-Scandinavische normen van die mainstream-cultuur nooit hebben overgenomen.

Ik vermoed dat het mede hierom is dat er vanuit mainstream-Scandinavië relatief veel steun zal zijn voor het aanleggen van een firewall rond het internet van de EU, en voor een technocratische bestuursvorm in de EU. Want op die manier zal het straks nog een beetje lijken of er de veiligheid van een dorp is. Een paternalistische overheid die zichzelf fatsoenlijk vindt en meent te weten wat goed is voor burgers, en ook hoe burgers fatsoenlijk kunnen en ook zouden moeten denken, daar zijn Scandinaviërs toch al aan gewend.

-- Paternalisme en technocratie versus welverdiend gezag --
Iets van diezelfde paternalistische cultuur valt trouwens ook in (het lange tijd voor een deel eveneens Lutherse) Duitsland te zien. Maar daar is het vertrouwen in de goedheid van het land als dorp in ieder geval na WO2 niet meer aanwezig, en ook veel minder het gevoel dat het dorp zichzelf zou kunnen afschermen van een boze buitenwereld (Duitsland ligt midden tussen andere Europese landen). Daar wordt het belang van bescherming van persoonlijke informatie, ook ten overstaan van de overheid, sinds de Tweede Wereldoorlog meer onderkend als voorwaarde voor het beschermen van het privéleven.

Maar ook daar proberen bestuurders nu af te komen van dat (respect voor het) recht op informationele privacy. Bijvoorbeeld met het zo terloops mogelijk invoeren van camera's met live gezichtsherkenning op en rond het centraal gelegen station van Frankfurt (zie https://www.security.nl/posting/902879/Duitse+politie+zet+camera%27s+met+live+gezichtsherkenning+in)

Wie zijn vrijheid wil verdedigen tegenover autoritaire, technocratische bestuurders, zal het hele idee van een paternalistische overheid moeten afwijzen, en concepten als "bemoeizorg" en het "stimuleren" (lees: met indirecte, vaak financiële middelen afdwingen) van door de overheid gewenst gedrag kritisch moeten bekijken. Want al die concepten zijn gebaseerd op de aanname dat burgers geen volwassen mensen zijn die vrije keuzes mogen maken, maar kinderen die door de staat moeten worden opgevoed.

Wat nodig is, is een overheid (een staat) die in de eerste plaats zichzelf opvoedt en een goed, inspirerend en gezag oproepend voorbeeld geeft. Dat vereist een zeer ingrijpende omslag in het denken van talloze ambtenaren en bestuurders, zeker ook in Nederland, want hier is in dat opzicht in de afgelopen dertig jaar veel fout gegaan.

M.J.

Het probleem ligt zoals zo vaak in de supply chain. Kwam dit op reddit tegen:
Mijn ervaring met Miljödata was dat ze de Zweedse aanbestedingswetgeving leken te misbruiken. Hun databases waren erg oude Microsoft SQL-servers die helemaal niet leken te worden onderhouden (althans degene waar we mee werkten).