Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens onderzoekt verwerking bsn in btw-nummers zzp'ers

Door , 155 reacties, submitter: BeToBe

De Autoriteit Persoonsgegevens onderzoekt of de Belastingdienst een wettelijke grondslag heeft voor het verwerken van het burgerservicenummer in btw-identificatienummers van zzp'ers. De AP heeft verzoeken gekregen van zzp'ers om zich hierover uit te spreken.

Vorig jaar maande de autoriteit organisaties tot het juist gebruiken van bsn's. Onder andere in reacties op het nieuwsbericht daarover op Tweakers beklaagden zzp'ers zich over het feit dat hun burgerservicenummer eenvoudig te achterhalen is. Dat komt doordat het bsn integraal is opgenomen in het btw-nummer, dat zzp'ers bekend moeten maken op bijvoorbeeld hun website en facturen.

Het burgerservicenummer is uniek en tot de persoon herleidbaar. Daarom is het een bijzonder persoonsgegeven en voor het gebruik daarvan gelden extra strenge regels. Onzorgvuldig gebruik van het bsn brengt privacyrisico's met zich mee, bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude, stelt de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens maakt nu bekend dat er een onderzoek is ingesteld naar de werkwijze van de Belastingdienst, maar wanneer er een uitspraak komt, is nog niet bekend.

Reacties (155)

Wijzig sortering
Het lijkt me het nuttigst om te zorgen dat een BSN niet te misbruiken is.

Er zit een logica achter iedere burger een unieke ID te geven in plaats van af moeten gaan op niet unieke nummers als naam en geboortedatum. Er zit geen logica achter het kennen van een BSN deuren te laten openen die alleen voor de rechtmatige eigenaar op mogen. Ik geef makkelijk mijn bankrekeningnummer aan mensen, toch kan niemand er geld vanaf halen.

Als ik met mijn bank bel dan is alleen het kennen van mijn naam en rekeningnummer niet voldoende voor hen om te besluiten dat ik het echt zelf ben. Extra toetsen zouden dus ook moeten plaatsvinden waar het BSN ingevuld moet worden.

Daarmee los je niet alleen dit BTW probleem op, je lost er ook alle andere risico's mee op waar je BSN opgeslagen moet worden.

[Reactie gewijzigd door Maurits van Baerle op 14 juni 2017 11:37]

Probleem is dat je een nieuwe identiteit nodig hebt.
BSN = identiteit kenmerk... Dus een nieuw identiteit kenmerk invoeren betekent alleen maar een nieuwe laag problemen.

Beter is BSN strikt te gebruiken voor waar het bedoeld is, en nergens anders.
BSN is oa. een toets voor je bank m.b.t. wie jij bent. (Of eigenlijk de info die je bank over jou aan de Overheid moet afstaan).
En de brillenzaak wil hem ook om even hebben en vertellen je precies hoeveel geld je nog moet bijbetalen, ze weten precies hoe en waar je verzekerd bent.
Het ziekenhuis wil je BSN.
En je verzekering laat je inloggen via Digid
Op je rijbewijs, paspoort, identiteitskaart, ziektekostenpas staat je BSN.

Niet zo eenvoudig om je BSN geheim te houden, zeker als je ook nog eens van die discutabele praktijken hebt als kopietje van je ID laten maken of opsturen voor een telefoonabonnement, huren van een auto, hotelkamers, campings, enz.

Wie weet je BSN eigenlijk niet?
Die brillenzaak mag dat helemaal niet. Dus dat kun je ze dan ook gewoon vertellen. (En misschien even melden bij de AP)

Zo ook verhuurder ed. Sommige willen volledige scan van een paspoort, nou dan mogen ze dus ook niet. Gewoon even de AP bellen.
Het gebruik van het BSN (en het vastleggen ervan) is Strict verboden, tenzij het wettelijk vereist wordt.

Dat betekent dus dat er veel werk voor de AP aan zit te komen, vanaf volgend jaar wordt het een stuk duidelijker geregeld.
Of het aanvragen van een echtheidsverklaring van je rijbewijs. Dat kan alleen door een kopie van het rijbewijs naar de RDW te sturen met de post. Terwijl het ook moet kunnen door beveiligd het rijbewijs nummer op te geven
BSN is oa. een toets voor je bank m.b.t. wie jij bent. (Of eigenlijk de info die je bank over jou aan de Overheid moet afstaan).
Dit zou niet zo moeten zijn. Het Bsn is identificatie, geen authenticatie. Als de bank zeker wil zijn van wie haar klant is, zul je fysiek de id kaart moeten controleren op echtheid, en kijken of de persoon aan de balie op de foto lijkt.
Ik geef makkelijk mijn bankrekeningnummer aan mensen, toch kan niemand er geld vanaf halen.
De toestemming voor automatische incasso is makkelijk te vervalsen. Klein bedrijf met wanhopige eigenaar als katvanger, en tel uit de winst (voor de lang gevlogen crimineel).
Als ik met mijn bank bel dan is alleen het kennen van mijn naam en rekeningnummer niet voldoende voor hen om te besluiten dat ik het echt zelf ben. Extra toetsen zouden dus ook moeten plaatsvinden waar het BSN ingevuld moet worden.
Simpel: digitale authenticatie met behulp van het identiteitsbewijs. Helaas is de Nederlandse overheid nog niet klaar voor de 21e eeuw, anders kon dit allang al...

[Reactie gewijzigd door The Zep Man op 14 juni 2017 11:52]

en ik storneer die automatische incasso weer net zo snel, dag "winst"
ja ook de eenmalige incasso's, dat duurt iets langer maar iedere vorm van incasso is omkeerbaar..
Daarbij leg je de controle plicht bij de rekeninghouder. Ik blijf dat vreemd vinden. Ik ga echt niet elke maand controleren of vreemden gekke bedragen van mijn rekening incasseren. En een paar tientjes ga je echt niet opeens opmerken.
Bij mijn bank (asn) kan ik met internetbankieren de incasso uitzetten (eventueel met een uitzonderingslijst).

Mocht er een legitieme incasso komen, dan kan ik die individueel goedkeuren - maar bij niet-goedkeuren wordt standaard het bedrag niet overgeboekt.
Ik weet niet hoor, maar zelfs een volstrekt legitieme incasso kan - bv door een slordige administratie of haperende synchronisatie - wel eens per ongeluk twee keer geïnd worden. Je mutaties controleren is niet vreemd maar gewoon common sense. Maar goed, het is je eigen geld, je moet het zelf weten.
Ben ik met je eens hoor. Maar eigenlijk is het natuurlijk absurd dat je in de tegenwoordige tijd zelf in de gaten moet houden of anderen niets van jouw rekening afschrijven. Daarom vind ik de oplossing die hierboven wordt gegevens (met een whitelist) wel een erg mooie oplossing. Uiteindelijk geef je een keer een goedkeuring voor een incasso en die controle leg ik liever bij mijn bank dan bij, zoals je zelf zegt, een bedrijf met een slordige administratie.
De toestemming voor automatische incasso is makkelijk te vervalsen. Klein bedrijf met wanhopige eigenaar als katvanger, en tel uit de winst (voor de lang gevlogen crimineel).
En na storneren heb je zo je geld terug.
Maar niet het geld wat je als boete krijgt omdat een andere legitieme incasso geblokkeerd wordt
Wanneer je een BV start krijgt de BV een eigen btw nummer. Als ZZP'er wordt je eigen BSN verwerken in je btw nummer.

Los van het feit dat je identiteitsfraude op alle fronten moet bestrijding, is het grote probleem dat het risico bij ZZP'er stuk hoger ligt slachtoffer te worden omdat deze persoonsgebonden is (bij bv niet) en verplicht wereldkundig moet worden gemaakt.

Een eenvoudige en noodzakelijke oplossing is dat het btw-nummer dus niet meer gebaseerd is op bsn maar willekeurig en enkel gekoppeld aan bsn in backendsystemen van de belastingdienst zoals naam. Of simpelweg hetzelfde beleid als bij bv's, bedrijven altijd een eigen bsn geven en indien het een eenmanszaak betreft, in backend van belastingdienst koppelen aan persoon bsn. Btw nummer moet enkel te gebruiken zijn voor btw verrekenen. Bsn wordt voor teveel andere dingen gebruikt.
Misschien een open deur intrappen maar de BSN is bij alle eenmanszaken zichtbaar, niet alleen bij zzp-ers. VOF/BV enz krijgen een eigen fiscaal nummer / RSIN.
De term ZZP'er is volgens mij dan ook meer een informele term en zegt verder inderdaad weinig over de bedrijfsvorm. Ik ken ook wel Zzp'ers met een BV of holding, en een eenmanszaak met meerdere personeelsleden behoort ook tot de mogelijkheden.
Dat komt vooral omdat de eenmanszaak een (juridische) term is. Dit komt doordat eenman de financiele en juridische leiding draagt. De misvatting zit in eenman, wat niks zegt over de verdere inhoud en aantal werknemers.

Tevens zal het plaatsen van een zpp'er in een BV vooral zin hebben bij een winst van 150.000 of meer, denk aan;
- Geen MKB-winstvrijstelling (14% na overige aftrekposten);
- Bij DGA is de aanname in 2017 een salaris van 45.000 euro;
- Afrekening FOR (mits geen omzetting naar recht op lijfrente uitkering);
- Vervallen zelfstandigenaftrek (7280¤) en startersaftrek (2123¤);
- Verkapte beperkte aansprakelijkheid bij zzp in BV;
- Naast loon verplichte afdracht sociale premies.

Vervolgens komt ook nog 20% omzetbelasting (tot 2 ton) en nog eens 15% dividendbelasting om de hoek kijken (verrekening mogelijk met inkomensbelasting). Uiteindelijk iets van 45% belastingdruk.

Naast alle andere kosten en verzekering is het wel verklaarbaar waarom ZZP'ers een flink uurtarief hanteren.
ZZP'er is geen rechtsvorm. Een eenmanszaak ook niet, dat is een natuurlijk persoon (die al een fiscaal nummer heeft, namelijk het BSN). Een btw-nummer is niet meer dan het fiscaal nummer (of dat nu het BSN of een RSIN) met NL er voor en BXX er achter.
Een eenmanszaak is wel een rechtsvorm, maar geen rechtspersoon.

Heel goed dat hier onderzoek naar komt. Ik vond het altijd al erg raar. Ironisch genoeg maakt de belastingdienst zelf wel een duidelijk verschil in de omzet en inkomstenbelasting.
... en vrij zeker OOK voor mensen die zonnepanelen aanschaffen en dan de BTW terugvorderen door zich als 'bedrijf' te registreren.

Ofwel, dit kan een behoorlijk grote groep mensen zijn, ook mensen die zichzelf niet echt als ondernemer zien maar puur alleen de BTW terugwillen van hun zonnestroominstallatie.
Die sturen echter geen facturen en hebben ook geen website waarop ze hun fiscale nummer / BSN moeten vermelden.
Als je het zelf niet op een website zet, zijn er wel anderen die dit als service aanbieden. Bijvoorbeeld www.vat-search.eu, waar ik mezelf tegenkwam nadat ik BTW had teruggevorderd na aanschaf van zonnepanelen.

Ze hebben me ook weer eraf gehaald, na vriendelijk verzoek. Als je iemand wilt helpen met ID fraude, moet je vooral dit soort gegevens makkelijk vindbaar maken |:(
Uit welke bron halen zij hun data?
Source of the Information

VAT-Search.eu is directly connected to public institutions who publish the information in the first place.

Ik heb het idee dat ze erg complete gegevens hebben. De gegevens van een webshop waar ik wel eens wat koop, staan hier online. De site zelf geeft het BTW nr alleen "op aanvraag" ;)
Holy moly...

Ik zie dat alle belastingdiensten van de EU al deze data publiek hebben gemaakt.

Zelfs met een API..
..onder het mom van verifieer met wie je zaken doet..

[Reactie gewijzigd door djwice op 14 juni 2017 20:16]

Hm ik denk zal ook eens kijken en jahoor zichtbaar op die site. Typisch iets waar je niet bij stil staat wanneer de het zonnepanelen BTW verhaal ga doen. Maargoed je kan wel bij deze site je record weg laten halen maar wie weet hoeveel sites er zijn....
In België is het heel eenvoudig je kvk nummer of wel ondernmeningsnummer is meteen ook gewoon je BTW id nummer.

Als zzpér staat je normaal ingeschreven bij de kvk, meestal als eenmanszaak hebt een nummer en hoe eenvoudig is het als dat nummer ook niet gewoon je btw nummer zou zijn.
Niet elke zzp-er in NL staat c.q. hoef te staan ingeschreven bij de KvK...!
Als je niet ingeschreven staat bij KvK mag je alleen BTW loze facturen sturen en mag heb je ook geen BTW-nummer nodig. In sommige bijzondere gevallen kun je zonder inschrijving van kvk een BTW nummer aanvragen maar dat zijn alleen maar uitzonderingen.
Nope. Als adviesbureau ben je niet verplicht om jezelf in te schrijven bij de KvK. En je nota's zijn niet btw-vrij, dus btw plichtig blijf je. (Heb zelf een adviesbureau gehad.)
Alleen (BIG-geregistreerde en medische) professionals werken btw-vrij. En sommige artikelen hebben een 0% btw tarief, maar dat is weer een ander punt.
Ook dit is niet helemaal juist.

Je krijgt een BTW-nummer als de Belastingdienst je als ondernemer voor de omzetbelasting ziet en heeft geregistreerd. Je kunt dus een BTW-nummer hebben zonder ingeschreven te staan bij de KvK en andersom.

Zie bijvoorbeeld https://www.belastingdien...register_niet_mogelijk_is

De Belastingdienst maakt volop gebruik van informatie uit het handelsregister maar het is dus niet zo dat KvK-inschrijving een voorwaarde is voor een BTW-nummer.
ALs we dat dan wel gaan invoeren is het probleem meteen opgelost....
Exact. En vrijwel elke ondernemen heeft in ieder geval ook een eenmanszaak.

@TripleTech, er is niks op tegen bepaalde activiteiten in BV te stoppen en vanuit eenmanszaak aan BV te declareren e.d. ik ken weinig ondernemers die niet zo werken.

[Reactie gewijzigd door jopiek op 14 juni 2017 18:01]

Ik ken weinig ondernemers die wel zo werken. Wel vanuit een holding BV declareren aan een werk BV.
Dat sluit mijn verhaal niet uit, uiteraard doe je dat ook.
Zeer terecht dat de AP hier nu naar kijkt: ergens is het ook wel curieus dat men enerzijds van je verlangt dat je enigszins verantwoord omgaat met dit soort gegevens, bijvoorbeeld waar het gaat om kopieën van identiteitskaart of paspoort, maar anderzijds van zelfstandigen verlangt dat ze dit gegeven met enkel een simpel achtervoegsel delen.
Dat het BSN nummer onder persoonsgegevens valt is me wel duidelijk. Ik zit me alleen af te vragen op welke manier dit nummer criminelen helpt om een identiteit te stelen of andere soorten van fraude te plegen. Het nummer wordt gebruikt voor communicatie met de overheid, maar ik zie niet in hoe het ingezet kan worden voor persoonlijk gewin. Iemand die een casus kan bedenken?
Gejat van: https://plazilla.com/page/4294997409/fraude-met-bsn
Vervolgens gaat de crimineel naar een belastingkantoor en pakt een inkomensbelasting-aangifte-formulier. Die vult hij dan in alsof hij jou is. Handtekeningen worden nauwelijks gecontroleerd, dus ook al heeft hij die niet, hij kan gewoon een friebeltje neerkrassen.

Wat hij ook kan doen, is zich voordoen als een belasting adviseur. Hij belooft mensen dan geld voor ze terug te krijgen. Ondertussen houdt hij zelf het grootste deel en kom jij later in de problemen.

Hij vult het formulier dan zo in, dat jij in aanmerking komt voor een belastingteruggave. Bijvoorbeeld vanwege hogere aftrekposten dan inkomsten. Dit kunnen belachelijk hoge giften zijn, of een hypotheekrente-aftrek terwijl je niet eens een koophuis hebt. De Belastingdienst stort het geld dan op het rekeningnummer van een obscure BV. Vaak gaan er geen bellen rinkelen omdat het verwerken van de aangiftes geautomatiseerd gebeurd.

[Reactie gewijzigd door Fairy op 14 juni 2017 11:22]

Dat werkt niet zo.
Tegenwoordig werkt de belastingdienst digitaal, en slechts in uitzonderingsgevallen kun je dit op papier doen. Daar moet je wel weer wat voor doen, met een hogere pakkans.

Bij de controle (papieren versie) wordt wel degelijk bezien of er niets afwijkt van voorgaande jaren. Een handtekening die je "moet neer friebelen" lijkt per definitie weinig op een echte als je die niet kent als crimineel. (E.e.a. i.v.m. fraudecontrole processen bij de belastingdienst.)
Digitaal is dat anders met je digid code die een crimineel niet kent.

Voordoen als belastingadviseur? Ondeskundige onzin. Een belastingadviseur heeft een aansluitnummer bij de belastingdienst, waarmee die zich identificeert. In het onwaarschijnlijke geval dat een crimineel dat kan achterhalen (familielid misschien), zal die zich nog steeds dienen te identificeren met zijn digid.
Het formulier zo invullen dat...? 3e x onzin. Hoe moet hij/zij weten hoeveel jij verdient? En OF je wel iets verdient? Elk verschil met voorgaande jaren valt direct op en resulteert in vragen bij de belastingdienst. En dan heb ik het nog niet over de digitale versie met vooringevulde informatie (die ook bekend is bij de papieren versie). Hypotheekrente wordt jaarlijks door banken doorgegeven en wordt ook standaard nog gecheckt bij de aangifte in een database.

Dus je hele verhaal: leuk bedacht, maar de realiteit is anders.
Het is een copy-paste van een site, zie de bron. Dit is niet mijn verhaal laat dat duidelijk zijn.
Ik ben geen belastingadviseur, verre van :)
het geheimhouden van het BSN nummer zal dit soort fraude niet tegenhouden, zeker niet als iemand zich voordoet als belasting adviseur en je trapt er in. Als je dat al geloofd is het een eitje om aan je BSN te komen (want het vertrouwen is er al).
Ja maar daar moet moeite voor worden gedaan, en er is communicatie voor nodig met de zzp-er, wat het achteraf waarschijnlijk beter traceerbaar maakt. Nu kan iedereen die je website bezoekt erbij omdat btw-nummer op de website moet van de overheid.
Dat mag best zijn dat het zogenaamd moet, ik zit het er bij niemand op alleen het kvk nummer.
Voro zover ik weet hoef je alleen je BTW-nummer kenbaar te maken op je website indien je goederen of diensten via je website verkoopt.

Je BTW-nummer op je factuur zul je toch echt moeten vermelden, anders kan je afnemer in de problemen komen bij een mogelijke controle van de belastingdienst, omdat de afnemer niet kan bewijzen dat er BTW is afgedragen over de factuur.
Veel leveranciers eisen het ook om 'zakelijke' diensten/pakketten/producten te verlenen etc.
Wellicht niet wettelijk verplicht, maar je kunt er toch lastig omheen dan.
Aanvragen nieuw DigiD, post met nieuwe login-code brief onderscheppen, zwik toeslagen/belastingvoorschot aanvragen, over laten maken op rekening katvanger, fraudeurs zijn lang en breed weg met het geld eer er een haan naar kraait.

Zou zeker niet de eerste keer zijn.
Als je de post van iemand kunt onderscheppen dan kun je ook via die weg wel achter het BSN komen.
Dat gaat een stuk meer werk kosten en loont deshalve (kennelijk) niet voldoende.
Don't shoot the messenger, ik benoem alleen maar wat volgens OM en fiscus nog niet zo lang geleden een significant probleem was.
Ook als jij een beter business model hebt voor de betreffende criminelen moet je niet bij mij zijn :+
Tegenwoordig is er 2FA, geen idee of deze waterdicht is maar het voegt wel een beveiligingslaag toe.
Helaas vzviw nog te vaak optioneel. Bovendien kun je juist met dat BSN een nieuwe login - inclusief 2FA - aanvragen.
Voorbeeld:
Je bent crimineel en wil online een abonnement aanvragen.
Je vind een pinpas met er achterop geschreven een pincode en zoekt de naam op op internet.
Hieruit vind jij dat de persoon een bedrijf heeft en blijkt dat dit een ZZP'er is.
Je gaat op zoek naar het BTW nummer en vind deze als: NL 123456789B01
Dit wil zeggen dat 123456789 de BSN is van de eigenaar van het ZZP "bedrijf".
Na zoeken op de naam van de eigenaar op google heb je zijn volledige voor en achternaam, en misschien ook wel het adres en zijn telefoonnnummer.
Hierbij heb je in een korte tijd dus:
BTW Nummer: NL 123456789B01
BSN nummer: 123456789
Voornaam: Dennis
Achternaam: de Boer
Telefoonnummer: 0612345678
Bankrekening nummer: NL14ABNA025523436
En zijn pincode: 1234

Nu heb je al de gegevens om een particulier telefoon abonnement af te kunnen sluiten.
Euh, of je pakt het pinpas en pincode en trekt met een muts over je hoofd de rekening leeg.

Is makkelijker dan de constructie die jij nu beschrijft :D
Niet echt, wat dat is eenmalig. Maar vraag je bij iedere CC maatschappij een kaartje aan, paar telefoonabbo's, etc. Dan brengt dat net wat meer op dan eenmalig z'n rekening leegplunderen..
En wordt je veel sneller gepakt omdat het dan om grootschalige fraude gaat.
Pinnen met een muts is misschien éénmalig, maar aangezien meneer toch al zijn bankpas kwijt is en deze snel laat blokkeren heb je die tijd waarschijnlijk helemaal niet om allerlei CC's aan te vragen.

Maar goed. BSN is privé en belangrijk om te beschermen idd. :)
Waarom heb je dan in godsnaam een BSN nog nodig als je de pas + pincode hebt? 8)7

De achternaam staat ook wel op de pas ;)

[Reactie gewijzigd door Standeman op 14 juni 2017 11:35]

Omdat meerdere telefoons vaak meer oplevert dan enkel een bankrekening ;)
Ik heb begrepen dat iemand die op zo'n manier een aantal telefoons regelt, dat je dat ook niet zo maar weer afgesloten hebt..... Daar kun je nog vrij lang plezier van hebben. (of voor meer geld doorverkopen als Anonieme telefoon...).
Dat bedoel ik dus.
Tja, een pasje verliezen kan nog, maar die pincode niet geheimhouden is gewoon je eigen domme schuld.

Verder hoef je maar een blik op de website van een eenmanszaak te werpen om bovengenoemde gegevens te vinden.

Verder vragen clubs als Ziggo en de fiscus altijd naar mijn geboortedatum..

Mijn tip is dus: Nóóit je echte exacte geboortedatum invullen bij Facebook of zelfs bij de voetbalclub. Gaat ze niets aan. Het wordt in feite gebruikt als een wachtwoord, in combinatie met je BSN.
Je gaat er daarbij gemakshalve van uit dat de persoon geen aangifte heeft gedaan van verlies. Anders vangt de crimineel alsnog bot.

En je pincode schrijven op je pas.... tsk tsk tsk. Misschien 1 op de miljoen doet dat, ondanks alle waarschuwingen van banken. Misschien bejaarde mensen ivm. vergeetachtigheid. Die hebben hooguit een rekening, maar meestal geen bedrijf (meer).
Je onderschat de mensheid wel erg... helaas zijn er genoeg mensen dit dit doen.
Pincode op de pas ? Dat is een standaard regels bij veel bedrijven waar je even een pasje meekrijgt voor het weekend of in het buitenland.

Zijn meestal ook pasjes met een gigantisch hoge limiet.
1 op de miljoen die hun pincode op hun pas zetten? Was het maar zo weinig. Voorbeeld:

https://twitter.com/lanadelcunt/status/467531997427277824

Lees vooral even de tweede tweet er onder.
(link naar origineel, bron: praatje van Miko Hypponen)
Ik reageerde met mijn opmerking over het neerpennen van je pincode op een betaalpas, niet op een creditcard (waar achterop de card een id-nummer vermeld staat die vermeld moet worden bij betalingen).

Staat dus los van aangifte na verlies. Zo makkelijk als men het hier doet voorkomen is het (gelukkig) niet.
Wat dacht je van een bankrekening openen op andermans naam? Beetje social engineering en je hebt zo beet. Kun je lekker gaan skimmen op andermans naam.

Als je slachtoffer bent van zo'n identiteitsdiefstal, wijst al het bewijs naar jou. Dan mag je dus zelf gaan bewijzen dat je er niets mee te maken had. Dat is een shitstorm die je echt niet mee wilt maken.
Wat dacht je van een bankrekening openen op andermans naam? Beetje social engineering en je hebt zo beet. Kun je lekker gaan skimmen op andermans naam.
Voor het openen van een bankrekening moet je jezelf in persoon identificeren.
Jij hebt voor het laatst in 1995 een bankrekening geopend? Kopietje ID en een overboeking van een bestaande rekening is genoeg. Dat eerste zijn veel mensen naïef genoeg om bij ieder wissewasje op te sturen, dat tweede is met een beetje social engineering ook wel te regelen.
Maar dat gaat alweer een stuk verder dan alleen een BSN gebruiken.
Wanneer je al zoveel moeite doet, kun je al genoeg bereiken zonder dat je een BSN van een rekening of website af haalt.
Het gaat om de optelsom. Hoe meer gegevens er van je bekend zijn, hoe makkelijker het wordt om je te targeten voor identiteitsdiefstal, spearphishing, etc. Alleen een BSN nummer heb je idd ook niets aan, maar in combinatie met andere gegevens kan het gevaarlijk worden.
Daarom is het dus belachelijk dat je zo'n relatief belangrijk persoonsgegeven verplicht moet publiceren als ZZP'er.
Daar moet je een andere rekening gebruiken
Dat kan slechts in zeer weinig gevallen: als gemachtigde voor die persoon, of een en/of rekening. In alle andere gevallen zegt de bank: sorry, maar laat die persoon dit zelf aanvragen. U kunt/mag dit niet doen. (Check het zelf maar. Heb dit zelf aan de hand gehad bij mijn dementerende moeder.)
Het risico lijkt me redelijk beperkt. Een ZZP-er heeft geen duizenden of zelfs maar honderden klanten. Het aantal mensen/klanten dat toegang heeft tot die gegevens is dan beperkt en vrij makkelijk traceerbaar bij misbruik.
Helaas. Je BTW nummer moet verplicht vermeld worden op je website. Dus of je klant bent van die ZZP'er is niet relevant. Iedereen op de wereld heeft toegang tot dat BSN nummer.
Fout. Je bent niet verplicht om je BTW nummer op je website te vermelden.

https://www.ikwordzzper.n...p-jouw-website-verplicht/
Volgens mij klopt dit niet.
Die verplichting tot vermelden van het BTW nummer openbaar op de website, is alleen van toepassing als het om een webshop gaat, dus waarbij online artikelen verkocht worden aan consumenten. ("verkoop via internet")
Voor een 'gewone' website als visitekaartje voor je bedrijf hoeft het BTW nummer er helemaal niet op te staan.
Het BTW nummer hoef je pas te vermelden op documenten die je naar de klant toestuurt, zoals op offertes of facturen.

https://www.acm.nl/nl/ond...indbaar-en-aanspreekbaar/
En zelfs bij een offerte of factuur hoeft het BTW nummer pas vermeld te worden wanneer er zaken worden gedaan met een ander bedrijf. Bij ‘gewone’ consumenten hoeft dat niet.

https://www.factuursturen...-weglaten-op-mijn-factuur
En hoeveel bedrijven hebben het BTW nummer op hun website staan?
Ik heb er meerdere gesproken en ben er 0 tegengekomen.
Ik heb het er zelf zeker niet op staan.
Op je facturen staat het wel.
Ik heb gelukkig een VOF die een eigen nummer heeft.
Er zijn/waren diverse sites waar je abbonementen kon afsluiten op basis van je naw en bsn gegevens.. en waar daarna weinig werd gecontroleerd. Nu is dat grotendeels de schuld van de bedrijven die dit aanbieden dat ze niet verder controleren maarja.. het is/was mogelijk.
bsn nummer mag maar door beperkt aantal partijen opgevraagd worden c.q gebruikt zie hier:

https://www.rijksoverheid...rvicenummer-bsn-gebruiken

Weet niet of abonnement site het volgens de wet mag opvragen.
Opgevraagd is in die zin "het actief opvragen van je BSN nummer op basis van andere persoonsgegevens". Niet het "vragen naar het BSN nummer van de betreffende persoon aan de persoon".
Maar het gaat over "gebruiken" en "verwerken". En zelfs het opslaan in een database is al te veel.
Maar dat is absoluut niet afhankelijk van een BSN. Commerciele bedrijven kunnen ook niets met een BSN. Ik kan ook bij veel bedrijven voor iemand een abbo afsluiten, daar is een BSN verder geen factor in.
Verder kan je een "correcte" BSN gewoon genereren, die hoeft alleen te voldoen aan de 11-proef.
Een gegeneerd BSN doet niks als je informatie opvraagt bij gemeente/bkr/staat/etc. Of komt niet overeen met de opgegeven naam. Identiteitsfraude heeft vooralsnog altijd het juiste BSN nodig vandaar dat ook ZZP'ers juist met het zichtbaar zijn van het BSN de dupe er van kunnen worden.
Op misschien enkele uitzonderingen na kan een commercieel bedrijf helemaal niets opvragen bij de gemeente/bkr/staat op basis van een BSN nummer.

Mijn punt is nog steeds dat een BSN nummer geen (of zeer beperkte rol) speelt bij identiteitsfraude.
Commerciele bedrijven mogen ook niet zomaar je BSN opslaan.
is een ziekenhuis een commercieel bedrijf eigenlijk?
Meestal gedeeltelijk wel, hoeft niet.
Openen van bankrekeningen en andere aanvragen die het informele karakter van een sportabonnement overstijgen.
Met puur het BSN nummer komen ze er niet, maar met de hoeveelheid beschikbare informatie op met name social media kan er veel.
Veel ZZP'ers staan ingeschreven op hun eigen woonadres bij de KvK, dus zo moeilijk is die zoektocht niet.
Ik heb nog nooit voor een commercieel bedrijf een BSN nummer hoeven in te vullen voor het aanvragen van een bankrekening of een sportabonnement. Bedrijven kunnen verder ook niets met dat nummer.
Zoals eerder gezegd, het BSN is geen factor in mogelijke identiteitsfraude.

[Reactie gewijzigd door Standeman op 14 juni 2017 12:24]

Je hebt naar alle waarschijnlijkheid je identiteitsbewijs moeten overleggen.
De gegevens hadden ze dus al maar vanwege data verwerking hebben ze het toch graag in een formuliertje.

Het heeft wellicht te maken met mijn werkactiviteiten, maar ik mag geregeld mijn BSN opgeven.
Even een huis kopen/huren onder een andere persoon/bsn en daar een weedplantage neerpoten. Alle "heat" gaat dan naar henk of ingrid die slachtoffer is
Huis kopen gaat al niet, want dan moet je langs de notaris.
Volgens mij kan je dat wel regelen met een volmacht.
In al die gevallen willen ze een id-bewijs zien. Een kladje met een BSN is niet voldoende.
Je kunt een DigiD aanvragen, daarmee een geboortecertificaat, dan een ID kaart en eventueel paspoort. Vervolgens rekeningen openen, eventueel toeslagen ontvangen etc. Zo gaat dat zo ongeveer. Je BSN moet je altijd zo veel mogelijk voor je houden.

[Reactie gewijzigd door i7x op 14 juni 2017 12:08]

Voor een geboortecertificaat moet je jezelf identificeren. No go dus als je niet de betreffende persoon bent.
ID-kaart idem dito.
Rekeningen: ook.

Leuk dromen hoor, maar dit is allemaal niet realistisch.
(Ja, ik werk zelf bij een gemeente.)

Overigens ben ik het volledig eens met je dat gezonde paranoia over privacy-gevoelige zaken een must is.

[Reactie gewijzigd door Tao op 14 juni 2017 12:28]

De ZZP-er als prive-persoon, en zijn bedrijf, zijn dezelfde rechtspersoon en dezelfde fiscale eenheid, dus de oorsprong hiervan is logisch. (Corrigeer me, ik ben geen jurist of fiscalist.)

Goed initiatief.
Op zich is daar ook niks mis mee. Waar het fout gaat is dat je verplicht bent datzelfde nummer te publiceren naar je klanten toe. Dat hadden best twee aparte nummers kunnen zijn. Eentje voor vetrouwde partijen (leveranciers) en een ander nummer voor het publiek (klanten).

Enfin. Ik stel voor dat de overheid naar een soort "app-specific" nummer gaat, zoals we dat bij Google en Apple mail zien. Sluit je online je nieuwe mobiele abo af, dan gaat dat direct via digid.nl. Doe je het liever in de winkel dan maak je eerst op digid.nl een nummer/barcode aan voor eenmalig gebruik. Dat lijkt me de enige veilige oplossing. De kans dat je BSN nummer een keer uitlekt is namelijk best groot tijdens een periode van 80+ jaar.
Ze zijn inderdaad gelijk aan elkaar - het is ook pas sinds 'kort' dat de wet bescherming persoonsgegevens (WBP) meer maatregelen heeft geintroduceerd waaronder dus dat diverse gegevens nu in principe niet zo maar meer opgeslagen mogen worden. Eigenlijk had men bij de introductie van de nieuwe maatregelen hier al naar moeten kijken en het lijkt erop dat dit niet echt gedaan is of men had zoiets van 'meh.. komt wel een keer'..
Goed om te horen dat de Autoriteit Persoonsgegevens dit onderzoekt. Voor vele diensten zoals betalingsproviders hoor ik mijn BTW nummer op mijn websites te verwerken maar heb hier altijd een beetje moeite mee gehad.
Het is wettelijk verplicht je BTW nummer op al je facturen te hebben staan, dat is ook zo voor je website als je aan consumenten verkoopt:

https://www.acm.nl/nl/ond...ist-verkoop-via-internet/
Ja, je wil niet weten hoeveel moeite ik moet doen omtrend het beschermen van BSN nummers in onze applicaties (zorg applicaties). Maar ondertussen hoort het BTW nummer van een eenmanszaak gewoon op een website te staan....
Dat had ik dus met data van pensioengerechtigden. Op projectbasis ingehuurd om bepaalde dingen te ontwikkelen voor een bureau dat voor diverse pensioenfondsen werkt. Daar moesten we ook altijd heeeeeel voorzichtig omgaan met BSN nummers etc. Terwijl ik dan dacht, tja... de belastingdienst zorgt er simpelweg voor dat ik die van mezelf met al m'n klanten moet delen. Beetje gek.
Er wordt nu over zzp'ers gesproken maar dit geld natuurlijk voor alle eenmanszaken ook die met personeel.
zzper is toch eigenlijk gewoon een eenmanszaak, is alleen een hippere naam.

[Reactie gewijzigd door SuperDre op 14 juni 2017 13:35]

Een zzp'er is iemand met een bedrijf waarvan hij of zij de enige werknemer is. Dat kan ook prima een BV zijn.

Een eenmanszaak kan daar in tegen prima 80 man personeel hebben. Eenmanszaak is niet bij definitie ook één werknemer. Bij een eenmanszaak is er geen aparte rechtspersoon en is er geen scheiding tussen het bedrijf en de eigenaar.
Of het zo slim is het een eenmanszaak te laten met zoveel personeel is een 2e.
Iets met hoofdelijke aansprakelijkheid......
Dat was hoog tijd zeg, het huidige systeem is belachelijk tegenstrijdig. Van de ene kant moet je je BSN geheim houden terwijl je aan de andere kant gedwongen wordt om het te publiceren.

Ik vind het sowieso maar twijfelachtig om zo veel aan één nummer te hangen en te verwachten dat we het geheim kunnen houden. Ieder modern beveilingssysteem weet dat het niet werkt. Het is niet voor niks dat we op onze computers en websites inloggen met een Username én een Password. Als je alleen een gebruikersnaam (of alleen een wachtwoord) hebt dan krijg je al snel een onwerkbare situatie.

Tijd om dit hele systeem te moderniseren. Ik snap dat het praktisch is om burgers uniek te kunnen identificeren; gegevens als naam, woonplaats en/of geboortedatum zijn nu eenmaal niet gegarandeerd uniek en onveranderlijk. Ik vind het echter niet nodig dat iedere instantie hetzelfde nummer gebruikt voor dezelfde burger. Voor sommige organisaties is dat prima, maar niet voor allemaal.

Laten we een flexibel systeem opzetten dat verschillende nummers aan dezelfde burger kan koppelen. Organisaties die samen moeten werken krijgen dan hetzelfde nummer te zien, maar kunnen dat niet (zelf) koppelen aan het nummer dat diezelfde persoon bij andere organisaties krijgt.
Laten we het opzetten met de kennis die we hebben opgedaan over public key systemen. Kennis hebben van een (publiek) nummer zou geen enkele waarde moeten hebben. Mijn bankrekeningnummer hoef ik ook niet geheim te houden. Je BSN moet je wel geheim houden maar er is geen enkele beveiliging, dat moet je zelf maar uitzoeken, en tegelijkertijd moet je het regelmatig gebruiken en ZZPers moeten het zelfs publiceren op hun website. Dat kan gewoon niet.
Juist, en daarom is dat hele 'geheimhouden' gewoon een wassen neus..
Effectief werkt het BSN-nummer nu als een niet in te trekken certificaat. Als je dit nummer van iemands weet, dan kan je je in basis als die persoon identificeren. Idealiter werk identificatie met iets wat je weet, iets wat je hebt én iets wat je bent. Dat faalt hier volledig. Ja, er is wat aanvullende beveiliging, maar het verplicht publiceren van een van dit geheim toont aan dat men het niet snapt.
Ja. dit wordt uiteindelijk een onhoudbare situatie. BSN = BTW nr.
Dus hoeveel de belastingdienst het ook wil vasthouden, vroeg of laat zal er genoeg aan de poten van de stoel geknaagd zijn dat ze het los moeten laten.

Dus... binnenkort krijg ik een nieuw BSN nummer? Een 'schone'?
Ik vrees dat ik dan gelijk problemen ga krijgen bij overheidsinstellingen :)
Nieuw paspoort, nieuw rijbewijs. vernieuwen registraties bij gemeenten. "Nee meneer, dat BSN nummer ken ik niet". :D Oh joy!
Het is logischer dat je straks een nieuw BTW nummer krijgt ipv een nieuw BSN.
Juist niet, want die BSN kan dan al 'gestolen' zijn. Beter gezegd die ligt al op straat.
Hoe gaat dat nu bij een reeds gestolen nummer? Kan iemand nu al een nieuw nummer krijgen? Of is dat altijd "van de wieg tot het graf" hetzelfde?

Er staat niets bij de veelgestelde vragen:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn
Nee, je kunt geen nieuw BSN krijgen.
Jawel, schrijf je maar uit bij de gemeente. Vervolgens 'verhuis' je naar het buitenland. Na drie dagen verhuis je terug naar Nederland.

Tada nieuwe BSN.

Voor meer informatie:
https://www.rijksoverheid...n-burgerservicenummer-bsn

Tevens is een BSN niet verplicht op een paspoort als je in het buitenland woont heb je geen bsn.
https://www.rijksoverheid...rt-of-id-kaart-buitenland
Nou de bsn nummer hou je gewoon je hele leven. De organisaties die er mee werken moeten ger rekening mee houden dat iemand een vals nr kan opgeven. Je geheime id is je DigiD.
Om het nog maar niet te hebben over buitenlandse overheden. Aangezien het Nederlandse paspoort nummer bij elk nieuw paspoort weer verandert wordt ook in het buitenland regelmatig het BSN nummer aangehouden als "ID number" voor Nederlanders. Wordt een aardige papierwinkel om dat te veranderen.
Aangezien het Nederlandse paspoort nummer bij elk nieuw paspoort weer verandert wordt ook in het buitenland regelmatig het BSN nummer aangehouden als "ID number" voor Nederlanders.
Daar heb ik nog nooit van gehoord.
Heb je daar bewijs van of meer info over?
Ik begrijp niet waarom dit dan nu pas een probleem is c.q. onderzoek waard is. Het BSN / BTW-nummer systeem wordt al minstens 20 jaar gebruikt.
Het is ook al lang een 'probleem' (gelukkig zelf nog niet zo ervaren). Het BSN nummer van een zelfstandige staat gewoon op z'n website. Samen met z'n huisadres en een scan van z'n Facebook/linkedIn accountje heb je voldoende gegevens om op naam van deze persoon wat rekeningen te openen of abonnementen af te sluiten.

Maar de belastingdienst/KvK doen er niets aan. Het probleem komt ook niet zo vaak voor.

Zelf al wel eens vragen gesteld over geheimhouding van BSN en verplichting publicatie BTWnr. Ja Een van die twee regeltjes moet weg.

De situatie is al lang zo, maar als ik in mijn eentje daar wat over zeg walst de belastingdienst daar gewoon over heen. En nu is er een groter orgaan die wat lastiger daarover doet. En langzaamaan komt het besef bij de belastingdienst dat ze inderdaad conflicterende regeltjes in stand houden.

Maargoed, overheid. Ik wacht nog wel een jaartje of 5 voordat er iets aan deze situatie verandert.

[Reactie gewijzigd door Stranger__NL op 14 juni 2017 12:34]

Rekeningen openen? Nope. Vraag zelf eens een rekening aan, dan zul je merken dat een ander dat niet voor jou kan doen. Abonnementen kan een ander verhaal zijn.
Nee, je hebt echt wel wat meer nodig om dat te doen. Een vals paspoort is fijn.
Een beetje gelijkend persoon, fototje.

De 'scriptkiddy'-variant van oplichter zal hier niet ver komen nee. Vandaar dat niet iedere ZZP-er hier al last van heeft.

Het is gewoon stom dat dezelfde overheid vraagt om je nummer geheim te houden EN tegelijkertijd publiek te zetten.
Het is ook al lang een 'probleem' (gelukkig zelf nog niet zo ervaren). Het BSN nummer van een zelfstandige staat gewoon op z'n website. Samen met z'n huisadres en een scan van z'n Facebook/linkedIn accountje heb je voldoende gegevens om op naam van deze persoon wat rekeningen te openen of abonnementen af te sluiten.
Als dat dan al langer een probleem is, waarom is er dan al niet langer massaal misbruik?
Het is te moeilijk om er direct misbruik van te maken.

Het publiceren van je BSN maakt het IETSJE eenvoudiger, maar om er echt misbruik van te maken heeft een oplichter ook wel een fake ID nodig. Een scan van een paspoort met dat BSN zou heel welkom zijn. Een telefoon-abotje is dan zo geopend.

Als je gaat zoeken in MP advertenties bij dure spullen vragen oplichters wel eens om een foto van een rijbewijs/ID "voordat ze geld overmaken" "omdat ik zeker wil zijn dat ik niet opgelicht wordt". En DIE foto wordt vervolgens misbruikt om katvanger accounts op te zetten. DAT heb ik recent wel meegekregen (i.v.m. enkele Marktplaats-oplichter arrestaties).
Wat ik bedoel is ook: Het lijkt me geen probleem kunnen worden voor een ZZP-er, juist omdat de genoemde gegevens verplicht openbaar zijn. De verkopende partij is dan wel heel dom bezig. Heeft ook geen poot om op te staan bij de rechter.

Ik kan me ook nauwelijks voorstellen dat er telefoon-verkoop-achtige bedrijven zijn die hier nog in trappen. Een (zakelijk aangeschafte) iPhone die ik ooit kocht bijvoorbeeld, werd pas geleverd na betaling vooraf via iDeal, met een koerier aan mijn adres en pas na het zetten van een handtekening.
Dit is echt een toonbeeld waarin de overheid gewoon echt gigantisch aan het prutsen is. Wat een hypocriet gedoe. Als de overheid een mens was dan zou die zichelf uit schaamte niet in de spiegel durven aankijken.

Al dat gepraat van de overheid over bescherming van persoonsgegevens terwijl ze weten dat zzp'ers hun BSN nummer verplicht moeten rondstrooien.

Let wel dit is dus al vele vele jaren bekend! Dit is dus helemaal geen nieuws.

Het is werkelijk schandalig dat deze situatie al zolang voorbestaat!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*