Doe iets aan dat kwetsbare BSN

Foto: Pixy.org Gdpr business data privacy people ccO Public Domain

COLUMN - In 2006 besloot de overheid het sofinummer, bedoeld voor sociale verzekeringen en de belastingdienst, op te waarderen tot een burgerservicenummer. Dat BSN zou je voortaan ‘overheidsbreed’ kunnen gebruiken, ‘met het oog op een meer klantgerichte, geïntegreerde dienstverlening’. Zo geschiedde. Dus tegenwoordig vraagt Jan en alleman je om je BSN, en is dat het snoer geworden waarmee je persoonlijke informatie overal aan elkaar wordt geregen.

Het lastige van die gekoppelde persoonsinformatie is dat die zich ongebreideld voortplant en soms losgekoppeld doorleeft, als een afgehouwen staart waaraan een nieuwe salamander groeit. Dat merken de slachtoffers van de toeslagenaffaire keer op keer: het label ‘fraudeur’ dat de Belastingdienst ooit ten onrechte aan hun BSN heeft gekoppeld, heeft zich over tal van datanetwerken verspreid en leeft daar ongebreideld verder. Steeds stuiten ze op nieuwe instanties bij wie ze als fraudeur te boek staan. Dat label heeft zich overal ingevreten.

Vandaar dat een aantal toeslagenslachtoffers nu een nieuw BSN eist. Ze willen met een schone lei kunnen beginnen, en eindelijk van die administratieve laster verlost zijn. Vandaar dat ze in een rechtszaak tegen de staat wijziging van hun BSN eisen.

Inmiddels kunnen circa 5 miljoen Nederlanders zich in deze zaak als belanghebbende voegen. Hun BSN is gecompromitteerd, doordat de GGD inzake corona met brakke software werkte om testafspraken en de resultaten van bron- en contactonderzoek te documenteren. RTL Nieuws ontdekte dat er grootschalig is gehandeld in miljoenen adresgegevens, telefoonnummers en BSN’s. Zeker in die combinatie zijn dat hoogst aantrekkelijke gegevens voor criminelen: het maakt identiteitsfraude – toch al flink in opkomst – een stuk eenvoudiger.

De schandalige nonchalance van de GGD – het was ze meermalen verteld dat hun systemen onveilig waren, van monitoring was geen sprake – werd verergerd door hun bewaarzucht. Waarom zou je in ’s hemelsnaam een testafspraak of contactonderzoek van twee maanden geleden bewaren? Laat staan oudere afspraken? Totaal onnutte informatie. Maar eenmaal gestolen en in schurkenhanden is het goud waard.

Het zou een mooi verkiezingspunt zijn voor een partij die privacy en digitale veiligheid serieus neemt: geef alle Nederlanders een splinternieuw BSN. Lastig voor de overheid, ja, maar die heeft er zo’n rommeltje van gemaakt dat nu ruim een op de drie volwassen Nederlanders tot in lengte van dagen moet opletten of er met zijn gegevens wordt gefraudeerd.

Op Twitter legde Martijn Leisink het goed uit. ‘Het echte schandaal is dat je je eigen identiteit moet beschermen door een nummer geheim te houden dat je tegelijkertijd volgens de wet te pas en te onpas moet afgeven.’ Een oplossing had hij ook: via je DigID zou iedereen beperkt geldige BSN’s kunnen aanmaken, gebonden aan een instantie, zodat het elders niet werkt.

Voor een overheid die ICT snapt een fluitje van een cent. Maar ja.


Deze column van Karin Spaink verscheen eerder in Het Parool
.

Reacties (7)

#1 Jos van Dijk

De overheid zal die oplossing waarschijnlijk niet accepteren. Het BSN is er juist voor bedoeld toezicht te kunnen houden o p burgers en op wat zij in verschillende contexten doen of nalaten. Als je elke keer met een andere code kunt inloggen is dat wel handig voor de burger, maar niet voor de staat die belang heeft bij massasurveillance met nummers waarmee je in alle bestanden tegelijk makkelijk kunt zoeken.

  • Volgende discussie
#1.1 Joost - Reactie op #1

In zulke systemen kan de staat nog steeds gewoon zien waar en waarvoor die tokens (codes) zijn afgegeven. Ze verliezen dat overzicht dus niet. Zij zijn immers de identity provider.

Je maakt het malafide derde partijen – of in het geval van een datalek – alleen een stuk lastiger om de gegevens te gebruiken.

#2 Martijn

Die bewaarzucht van de GGD is volstrekt logisch. Zij willen leren van de ervaringen met nieuwe (en oude) infectieziekten. Dat kan alleen als je op de persoon herleidbare gegevens verzamelt en bewaart. Het is niet anders.

  • Volgende discussie
  • Vorige discussie
#2.1 lmgikke - Reactie op #2

onzin. niet relevant wat de ggd wil. we hebben de avg, en men moet aan doelgerichte en doelgebonden dataverwerking doen.

en naar personen herleidbare testafspraak gegevens heb je daar niet voor nodig.

Derhalve is die data hebzucht (want dat is het) bij wet geregeld. En die is grof geschonden.

Het lijkt wel of we het in Nederland normaal vinden dat wetten en regels niet gelden als er maar iets ‘nobel’ geassocieerd wordt.

zo werkt dat natuurlijk niet.

Maar goed, het ziet er naar uit dat komende verkiezingen incompetentie en legale corruptie gelegitimeerd gaan worden.

onze achter kleinkinderen zullen ons vervloeken vanwege het te grabbel gooien van onze grondwet, vrijheid en democratie.

  • Volgende reactie op #2
#2.2 Frank789 - Reactie op #2

[ Zij willen leren van de ervaringen met nieuwe (en oude) infectieziekten. ]

Als het puur om de testen op corona gaat is het helemaal niet nodig NAW en BSN te bewaren.
Als je wilt weten wat er in de (verre) toekomst met de geteste persoon gebeurt, dan heb je wel minimaal NAW nodig. Maar dan moet je de geteste persoon toestemming m.i. toestemming vragen.

  • Vorige reactie op #2
#3 Co Stuifbergen

Het probleem lijkt mij niet het BSN, maar dat onjuiste gegevens doorgegeven worden (een labeltje “fraudeur”) of dat overbodige gegevens opgeslagen worden (oude testuitslagen).

Vroeger werden mensen geïdentificeerd met hun naam en geboortedatum. Dat zijn ook sleutels om gegevens te koppelen.
Dus als computersystemen gekoppeld worden, kunnen nog steeds te veel gegevens aan 1 persoon gekoppeld worden.

Het idee van tijdelijke BSNummers staat mij overigens wel aan.

  • Volgende discussie
  • Vorige discussie
#3.1 Frank789 - Reactie op #3

[ Vroeger werden mensen geïdentificeerd met hun naam en geboortedatum. ]
Nou, hopelijk ook met adres, woonplaats en geboortedatum, want het aantal Jan Jansens met dezelfde geboortedatum zorgt voor veel problemen. Schrijffouten ook. Alléén het BSN is voor een ieder persoon uniek.

Overigens heb ik een vraag bij de “beleidsdirectie binnen VWS” liggen of ik het formulier voor de coronavaccinatie verplichte ben in te vullen, of dat ik geen vaccinatie krijg als ik bepaalde data (waaronder het BSN) weiger in te vullen.
Als dat weigeren van BSN überhaupt al zinvol is omdat mijn BSN al in het prikbestand is opgenomen en slechts op bevestiging wacht.