Ik woon in Zweden en het ligt wat anders met betrekking tot de gevolgen.

BSN is publiekelijke info in Zweden, je kan het eenvoudig op zoekmachines voor mensen vinden. Sterker nog, veel meer informatie is gekenmerkt als publiekelijke info, waaronder adressen, vorige adressen. strafbladen, naam partner en kinderen (indien ouder dan volgens mij 16 of 18), welke auto's je hebt, enzovoorts. Dus het feit dat dit nu gelekt is, zegt helemaal niets. Je gebruikt namelijk BankID voor alles, wat een app is zoals DigiD. Zonder toegang tot deze app (middels MFA), kun je niets. Daarom ligt het aantal fraudegevallen ook zeer laag in Zweden.

Ik als security persoon heb bijna wekelijks nog gesprekken met Zweedse vrienden en collega's hierover en dat zij niet inzien hoe naïef het is om deze informatie openbaar te hebben staan.

Ook en zelfs inkomen is een openbaar gegeven in Zweden, en zoals Anoniem 10:21 al schrijft is er niets geheims aan de gegevens. Van een mug wordt een olifant gemaakt.

Buiten het feit dat er niets geheim is en dit schijnbaar via BankID zo op het eerste goed geregeld lijkt te zijn is dit wel een zorgelijke situatie. Waarom al deze data zo in het openbaar? Dit betekend simpelweg dat iemand die iets kwaad wil alleen nog maar iets hoeft te proberen met die BankID. Dat is vroeg of laat gewoon vragen om problemen.

Eigenlijk zou je ondanks dat je niets kan zonder BankID nog steeds dit soort informatie allemaal niet zichtbaar willen hebben. Denk aan stalking of iets dergelijks. Ook kan er een profiel van jouw gemaakt worden met al deze informatie voor andere doeleinden. Welke auto bezit je? Hoe duur is die? Welke wijk woon je. Ik kan nu al een aantal bijzondere dingen bedenken met kwaad in de zin met al deze gegevens.

Zie ook de laatste reacties op 28-08-2025 onder https://www.security.nl/posting/902237/ n.a.v. het datalek bij Clinical Diagnostics over hoe het geregeld is in "de Nordics". Daar komt ook naar voren dat er in die landen sprake is van naïviteit.

Of hebben ze gelijk? Je geeft zelf aan dat je zonder toegang tot BankID helemaal niets kan. Klopt mijn indruk dat de geheim te houden DigiD in Nederland meer problemen geeft dan de openbare BankID in Zweden?

Ik ben ooit tegengekomen dat degene die DigiD bedacht heeft helemaal niet vond dat die geheimhouding nodig heeft. Voor zover ik zie hebben we er een probleem mee omdat om wat voor reden dan ook men een getal van 9 cijfers is gaan behandelen alsof het niet te kopiëren of te onthouden of na te maken zou zijn, en moeten we er nu iets mee doen dat eigenlijk onmogelijk is: het volkomen geheim houden terwijl we het tegelijk aan diverse partijen moeten verstrekken en het leesbaar is voor wie je identiteitsbewijs maar moet controleren. De kwetsbaarheid is niet de eventuele openbaarheid maar die idiotie van het behandelen alsof dat goed afgeschermd kan worden.

Ik vind ze in Zweden opmerkelijk ver gaan met wat er allemaal openbaar is, maar met DigiD/BankID zouden ze wel eens groot gelijk kunnen hebben.

Met DigiD of BankID kan allerlei informatie over personen worden ontsloten en gekoppeld. Niet alleen formeel (toegang tot databestanden), maar ook informeel (informatie die al op enige wijze publiekelijk beschikbaar is verwerken).

Als er nog maar één verdedigingsmuur is tegen het op straat liggen van zo'n beetje alle persoonlijke info (namelijk de beveiliging van DigiD of BankID), dan is dat vragen om een privacy-ramp. Een beetje zoals de Titanic waarbij men vertrouwde op één enkel mechanisme dat het schip "onzinkbaar" zou maken, namelijk de opdeling in waterdichte compartimenten. Men hield er geen rekening mee dat één enkele ijsberg al die compartimenten in één keer zou kunnen ontsluiten. Men vertrouwde op de "nieuwe technologie" van het schip de Titanic.

Als je er vanuit gaat:
-- dat (enig onderdeel van) de staat of de overheid nooit een bad actor kan worden (dus dat fascisme, staats"communisme", surveillance-technocratie en niet-integer overheidshandelen niet bestaan);
-- dat er door grote tech- en data-bedrijven of hackers nooit zal kunnen worden binnengedrongen in systemen waarvoor dergelijke ID's gebruikt worden om op enige wijze misbruik te maken van die goudmijn aan persoonlijke informatie daarachter;
-- dat geen bank, verzekeraar of zorginstelling ooit een onzuiver dealtje zal sluiten met een overheid of een databedrijf; en
-- dat als zoiets toch gebeurt, de privacy-schade prima te herstellen zal zijn (dus dat het dark web niet bestaat en geheime databestanden van bepaalde overheidsinstanties, bedrijven en religieuze groeperingen ook niet bestaan);
-- etc. etc.

- Ja, dan zouden ze daar in Zweden inderdaad wel eens groot gelijk kunnen hebben. Maar dit zijn totaal onrealistische aannames.

De enige manier om persoonlijke informatie een beetje adequaat te beveiligen in de tijd van internet en big data, is door:
- ervaringen van en informatie over natuurlijke personen waar mogelijk niet te dataficeren;
- indien die toch wordt gedataficeerd, de verwerking ervan te minimaliseren;
- de verwerkte data decentraal op te slaan.

Het idee en de toepassing van één nummer waarmee alle informatie over een persoon kan worden gevonden en gekoppeld, ondermijnen elk van die drie cruciale manieren om het privéleven van mensen te beschermen.

M.J.