Belgische overheidssite voor verkeersboetes bevatte privacylek

De site waar Belgen hun verkeersboetes online kunnen betalen bevatte maandenlang een privacylek, waardoor op eenvoudige wijze persoonsgegevens van andere verkeersovertreders waren in te zien. De FOD heeft hiermee de Belgische privacywet overtreden.

De site Verkeersboeten.be gaf toegang tot de namen, nummerplaten en de hoogte van de boete van hardrijders. Wie bij de site van de Federale Overheidsdienst Justitie inlogt om zijn boete te betalen, moet daarvoor het nummer van het proces-verbaal, de datum van de overtreding en de captcha-code invoeren. Door het nummer van het proces-verbaal aan te passen, was het eenvoudig mogelijk de gegevens van anderen in te zien, ontdekte het maandelijkse vakblad Verkeersspecialist.

De Privacycommissie verklaart aan De Standaard dat de FOD Justitie de privacywet overtreden heeft door niet 'de vertrouwelijkheid en beveiliging van data te garanderen'. "Bovendien heeft de FOD een voorbeeldfunctie als overheidsdienst. Het gaat ook om gerechtelijke gegevens, wat extra gevoelige materie is", aldus Caroline De Geest van de autoriteit. FOD Justitie introduceerde de site in juli. Op 8 september is de site na de melding van het privacylek aangepast waardoor de namen van overtreders niet meer in te zien zijn, maar de overige gegevens zoals kenteken zijn nog wel inzichtelijk.

IT-banen

Reacties (61)

RVervuurt 26 september 2017 12:16

Ik gok dat de proces verbalen gewoon gemaakt worden met een stapsgewijze integer, waardoor je dus gewoon +1 of -1 kon doen, om zo het proces verbaal van de persoon voor of na je in te zien.

Waarom niet gewoon een automatisch gegenereerde code, ipv een getal? 8 letters en cijfers geeft al 2.821.109.907.456 (36^8) mogelijke proces verbalen. Wil je daaruit toevallig een gebruikt proces-verbaalnummer intoetsen, moet je wel echt heel veel geluk hebben.

Als je daar ook nog eens hoofdletters bij toevoegt, heb je opeens 218.340.105.584.896 (62^8) mogelijkheden.

[Reactie gewijzigd door RVervuurt op 23 juli 2024 22:51]

Arator @RVervuurt • 26 september 2017 12:27

Wij maken op het werk (overheid) ook regelmatig verslagen op, zijn dan wel geen echte PV's, aangezien ik geen PV's mag opmaken, doch hebben ze wel dezelfde waarde binnen het werk. Er zit daar bij ons een vrij logische nummering in om ze eventueel later te kunnen terugvinden. 3 letters voor de area, 3 cijfers voor de dag van het jaar, 3 letters voor de zone, een volgnummer van 4 cijfers. Als ik dus het verslag moet hebben van een incident op het spoor op 28 augustus te Antwerpen-Berchem kan ik dat dus direct terugvinden. Met een automatisch gegenereerde code moet ik al een logboek gaan bijhouden van welke code naar welk incident verwijst.

Ik vermoed dat PV's ook wel een dergelijke nummering gebruiken.

GORby @Arator • 26 september 2017 16:17

@Arator Bestuurlijke verslagen voor de GAS boetes toevallig?

Daar komen volgens mijn ervaring inderdaad bijna alleen cijfers in voor bij de meeste gemeenten (toch in het variabele deel).

Arator @GORby • 26 september 2017 16:41

@GORby nopes. Meldingen van storingen aan spoorwegmaterieel, hoeveel treinen hierdoor hinder van ondervonden, wanneer technisch personeel werd opgeroepen. Dergelijke zaken kunnen worden opgenomen in een PV wanneer het parket ook een onderzoek instelt. Puur hypothetisch : een trein ontspoort op een wissel. Dan kan bijvoorbeeld uit die verslagen blijken dat wij al enkele dagen daar storingen hebben ondervonden, dat wij technische ploegen hebben gestuurd en welke zaken zij hebben vastgesteld. Dan worden de D43 (naam van deze documenten) samengevoegd in een relaas van gebeurtenis (met een nationaal volgnummer) en overgemaakt aan de bevoegde instanties.

indigo79 @RVervuurt • 26 september 2017 12:20

Ze weten aan wie die verkeersboete gestuurd wordt. Waarom niet gewoon inloggen met eID (zoals voor alle andere overheidsdiensten) en dan alleen toegang tot zaken die aan jou gekoppeld zijn?

D.Ramakers

@indigo79 • 26 september 2017 12:29

Puur het feit dat een auto een boete krijgt wil niet zeggen dat de bestuurder ook de daadwerkelijke eigenaar is (denk aan leasemaatschappijen / vriend gebruikt auto, etc)

Met eID inloggen is dus niet correct daar diegene die betaald ook schuld bekent in mijn ogen.

wica @D.Ramakers • 26 september 2017 12:40

Mara je zou met je eID wil kunnen inloggen, om aan te geven dat jij niet de bestuurder was, maar iemand anders met zijn/haar naam en gegevens.

Dit kan in nederland met de papiere versie namelijk wel, dus zou het digitaal ook moeten kunnen.

D.Ramakers

@wica • 26 september 2017 12:46

Hier is ook een papieren versie voor bij ons. Maar dan zou een ander nog altijd de toegang moeten krijgen. Mijns inziens veel te veel problemen zoeken voor enkel de mankracht te vervangen voor controle op foutieve betalingen.

Verwijderd @indigo79 • 26 september 2017 12:27

België is natuurlijk het land van de bedrijfswagens, die niet zelden op naam van de firma staan. Heel die groep zou de site dan niet kunnen gebruiken.

brecht_vb @Verwijderd • 26 september 2017 12:31

Die boetes komen persoonlijk op naam aan (in mijn firma toch), dat kan evengoed zo geregistreerd/geïmplementeerd worden.

nightraven79 @Verwijderd • 26 september 2017 12:36

correctie: leasingmaatschappijen zijn tegenwoordig verplicht de gegevens van chauffeurs door te geven.
Dit opdat de chauffeurs hun boetes rechtstreeks krijgen.
enkel bij pool-wagens is dit niet van toepassing

IStealYourGun

België

@nightraven79 • 26 september 2017 12:57

correctie: leasingmaatschappijen zijn tegenwoordig verplicht de gegevens van chauffeurs door te geven.

Volgens mij zijn leasingmaatschappijen dat niet verplicht, maar dan moet de leasingsmaatschap de boete betalen. Tussen de klant en het leasingsbedrijf is er vaak een akkoord dat ze de gegevens mogen doorgeven (of sturen ze de boete naar de klant)

Sito @IStealYourGun • 26 september 2017 13:11

Dat is in Nederland doorgaans wel zo. De boete wordt vanuit de leasemaatschappij naar de klant gestuurd en die dient het dan te betalen. Uitzonderingen daar gelaten, want toen ik in Den Haag een parkeerboete kreeg had de leasemaatschappij deze meteen voldaan en moest ik dus aan de leasemaatschappij betalen.

psycho202 @IStealYourGun • 26 september 2017 15:43

Leasingmaatschappij is wel degelijk verplicht om de gegevens van de primaire bestuurder door te geven naar de politie, indien daarom gevraagd wordt.

supersnathan94 @Verwijderd • 27 september 2017 21:39

Dan krijgt die firma de bekeuring ook op grond van de registratie denk ik? Dan mogen zij uitzoeken wie er toen in gereden heeft.

Zo werkt dat ook als ik mijn auto uitleen aan iemand. Ik krijg vanzelf de bekeuring van de flitser opgestuurd.

mmjjb @indigo79 • 26 september 2017 12:33

Gewoon postcode check er bij, klaar.

-Postcode
-Dossiernummer
-Datum

Dan heb je al een erg veilige combinatie, zeker als er ook een captcha opzit.

Dat is beter dan dat @RVervuurt zegt met random nummers, random nummers wil je in principe niet. Leuk dat je zo veel combinaties hebt, maar op zo'n grote schaal wil je niet met random nummer te maken hebben, ook is er een kans dat een nummer 2 keer voorkomt, wat je ook absoluut niet wil hebben.

Gewoon lekker met volgnummer werken in combinatie met 2 unieke waardes, postcode en datum zijn daar uitermate geschikt voor

ronn0 @mmjjb • 26 september 2017 13:24

Maar de datum is dus geen unieke waarde omdat als ik op 26-09-2017 12:00 een boete krijg met nummer 10000 dan is de kans dus 100% dat op diezelfde datum de boete met 10001 er ook is.

Dan heeft het dus ook geen zin de datum erbij te zetten in de "unieke" waardes.

mmjjb @ronn0 • 26 september 2017 18:35

Als je mijn bericht goed gelezen had, dan zie je dat ik helemaal niet zeg dat datum een unieke waarde is

Wat ik zei ik dat de combinatie van postcode, dossiernummer en datum een goede combinatie is.

supersnathan94 @mmjjb • 27 september 2017 21:41

Nee hoor. Want die postcodes kan ik ook gewoon bruteforcen. De combinaite datum en dossiernummer is al afleidbaar zoals @ronn0 ook al aangeeft. Dan hoef je dus alleen nog maar de laatste 6 getallen en letters te “raden” en dat zijn er veel minder dan je denkt.

mmjjb @supersnathan94 • 28 september 2017 02:15

Hoe wil je bruteforcen met een captcha?

supersnathan94 @mmjjb • 28 september 2017 07:44

Die captcha die ze gebruiken stelt niet zoveel voor en daar zijn al lang en breed libraries voor die dat weer terugprasen naar text.

RVervuurt @indigo79 • 26 september 2017 12:23

Dat zou natuurlijk nog beter zijn, maar laat ze in het begin maar eerst eens even een random gegenereerde code toevoegen, ipv een i++. Dan kunnen ze daarna langzaam eID toevoegen, zodat je in 2054 kan inloggen en betalen met je eID.

bush @indigo79 • 26 september 2017 15:20

De site is er vooral om niet belgen hun boete te laten betalen. https://nieuws.vtm.be/bin...ders-maar-niet-bij-belgen

psycho202 @bush • 26 september 2017 15:44

Deze site werkt zelfs helemaal niet voor mij. Heb de moeite niet gedaan om dit verder uit te zoeken en heb m'n boete dan maar op de ouderwetse manier betaald.

bogy @RVervuurt • 26 september 2017 12:32

google doet het zelfs met youtube; daar heeft elke video maar 11 tekens als ID, en die wordt bij random gekozen...
het systeem van youtube is wel Base64; dus *64 per karakter .... doe maar eens 64 tot de elfde macht ... zo klein is de kans dat je bij youtube dezelfde id twee keer krijgt achter elkaar of tegelijkertijd. (youtube checkt wel in de database of de id nog niet bestaat na de random generation)

Gomez12 @bogy • 26 september 2017 13:41

Dat is de theorie, de praktijk is echter dat er uit een veel kleinere selectie wordt gekozen.

Want je wilt niet afhankelijk zijn van de latency van 1 centrale server, oftewel van te voren zijn er al batches uitgegeven aan werelddelen/datacentra.

Plus dat er bij Youtube nog 1 belangrijk aspect meetelt, namelijk dat 90+%(pure gok) van de video's publiek zijn waardoor het niet erg is als er iets getoond wordt bij een id, op dat moment weet jij als gbruiker niet of het publiekelijk is of niet.

Terwijl bij een systeem als dit elke hit fout is.

bogy @Gomez12 • 26 september 2017 19:54

er wordt echt bij youtube bij elke upload een RNG gedaan en gedubbelcheckt dat het effectief uniek is en nog dus niet in gebruik. Dit duurt letterlijk 0.1 seconde en is meer dan snel genoeg om het aan de andere kant van de wereld te doen; tenslotte ken ik niemand die, wanneer hij youtube vidoe's gaat uploaden, dit doet aan sneller dan 1 video per seconde; dan moet die echt wel snel internet hebben + zeer snel kunnen werken want je moet tenslotte ook nog een paar dignen invullen als je iets upload.

kijk anders ff naar het filmpje dat hier vermeld wordt http://www.popularmechani...be-link-generation-works/

Gomez12 @bogy • 26 september 2017 20:13

0.1 seconde is een eeuwigheid in IT en zeker bij systemen als Youtube.

En het is heel leuk dat jij niemand kent die meer dan 1 video per seconde upload, alleen jouw kennissen zijn niet de enige gebruikers van youtube en wereldwijd worden er echt wel meer dan 100 filmpjes per seconde geupload, alleen dat is niet zo relevant want dat heeft niets met de reden voor batches berekenen te maken.

De reden voor batches is puur garanderen dat iedereen unieke id's krijgt zonder lang te wachten (en dan is 0.01 seconde al lang) plus dat je simpelweg niet 1 SPOF hebt.

supersnathan94 @bogy • 27 september 2017 21:49

Aangezien YT per minuut ongeveer 400 uur aan video materiaal aangeboden krijgt is de kans echter aanzienlijk groot dat die check van 0.1 seconden voor twee identieke nummers per ongeluk verkeerd wordt afgehandeld. Zeker als je microservices gebruikt waardoor bijvoorbeeld de latency tussen wegschrijven en ophalen een verschil oplevert waardoor die twee identieke codes allebei als nog niet gebruikt worden aangemerkt. Puur omdat het wegschrijven dat hij gebruikt is richting DB langer duurt dan de call om het op te halen.

Dit theoretish probleem is echter wel een punt waar je met dergelijke systemen op moet letten. Dat de kans atomisch klein is dat het gebeurt betekent niet dat je geen maatregelen moet nemen om uit te sluiten dat het voor kan komen. Dat is dan ook de reden waarom ze batches gebruiken. Er zijn toch wel genoeg nummers om iedereen 600 duuzend nummers te geven en door het te splitsen kan dat nog steeds, maar wordt de kans dat duplicates optreden nog exponentieel veel minder klein omdat je al een stukje latency uit het geheel wegneemt en je minder users hebt per pool.

Berreber @RVervuurt • 26 september 2017 12:29

En als het getal volledig random wordt gekozen moet je ook nog eens de dag goed hebben. Ik vraag me af hoe vaak het voorkomt dat je die combinatie zomaar kunt raden.

timmiej93 @RVervuurt • 26 september 2017 12:30

Cijfers en letters neem ik aan?

Verwijderd @RVervuurt • 26 september 2017 12:54

Dit gaat eigenlijk alleen echt op voor URL's.
Documentnummering an-zich wil je wel een beetje administratief overzichtelijk houden.
In dit specifieke geval zit het gebrek gewoon puur in het falen van te vragen naar additionele verificatiegegevens.
Als je een documentnummer moet matchen aan een postcode en huisnummer waarop het voertuig geregistreerd staat of zelfs een compleet arbitraire waarde, noem het een controlegetal, die je bij de vordering meegeeft is het al nagenoeg onmogelijk om gewoon even te puzzelen met wat cijfertjes. Het lijkt me dat je daar bij stilstaat als je serieus naar zo'n implementatie moet kijken in een sector waar je tot aan je oren in de compliance regels zit maar blijkbaar zit dat genuanceerder.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:51]

Stoelpoot @RVervuurt • 26 september 2017 12:27

Dat verwacht ik ook. En als je dan opeens geen toegang meer kreeg, de datum omhoog zetten.

8 Nummers en Cijfers zijn overigens gewoon 8 nummers.

[Reactie gewijzigd door Stoelpoot op 23 juli 2024 22:51]

Verwijderd @RVervuurt • 26 september 2017 17:39

AN.99.L1.000123/2017
Parket - 2 letters. ANtwerpen, GEnt, ...
Preventiecode - 2 cijfers. id over inhoud PV
Dienst - 2 alphanumerieke. id van dienst
Volgnummer - 6 cijfers, (vaak) leading zero, i++
Jaartal - 4 cijfers

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:51]

Chuk 26 september 2017 12:12

Zeer amateuristisch. Een klant zou simpelweg een 'access denied' moeten krijgen wanneer hij een nummer ingeeft dat niet gelinkt is aan zijn account.

Lambo LP670 SV @Chuk • 26 september 2017 12:31

Je kan op https://www.verkeersboeten.be/ geen account aanmaken. Je dient het identificatie nummer in te vullen (vind je terug op je papieren proces verbaal) en de datum van overtreding.

Vb.
AN.98.F5.523442/2017 is mijn eigen identificatie met als overtredingsdatum 12/08/2017.

Als ik dan AN.98.F5.523443 ingeef krijg ik wel de melding dat het een ongeldige combinatie is. Ze gebruiken dus geen simpele number sequence waarmee je makkelijk andere overtreders zou kunnen opvragen.

supersnathan94 @Lambo LP670 SV • 27 september 2017 22:12

Wat een klerewebsite zeg. Sorry maar als je zo inputvelden scheef achter ekaar hebt staan (op mobile) en dan net 1 karakter toont snap ik ook wel dat het achterliggende systeem ook niet heel fantastisch is. Probeer voor de gein de site eens op mobile of tablet te gebruiken.

Zodoende krijg je ook netjes te horen dat bijvoorbeeld het tweede nummer van het proces verbaal niet klopt en weet ik nu dus dat het alleen de datum is die niet klopt. Validatie op input is goed, maar geef dit niet gelijk door aan de user als een combinatie niet goed is.

Er zitten dusdanig veel problemen en foutjes in de site dat je je afvraagt of het misschien beter is om hem maar helemaal opnieuw te maken. Ik vraag me af of je hier niet gewoon een postman collectie voor kunt genereren die allerlei mogelijke opties afgaat.

De captchas kun je namelijk ook gewoon parsen.

thePiett

@Chuk • 26 september 2017 12:24

Geen "access denied", maar simpelweg een 404.

supersnathan94 @thePiett • 27 september 2017 22:20

Hoewel het naar de buitenwereld beter is een 404 af te geven wegens veiligheid is het technisch gezien wel juist om een “401 unauthorized” of “403 forbidden” terug te geven. De resource is er namelijk wel, maar jij mag hem niet opvragen omdat je geen (correcte) credentials op hebt gegeven of omdat je gewoon geen toegang hebt tot die resource ook al kloppen je credentials wel.

rable 26 september 2017 12:07

Redelijk halfbakken oplossing. Kunnen ze niet gewoon vragen om naast je PV-nummer, ook je nummerplaat in te geven?

efari @rable • 26 september 2017 12:38

klinkt goed, maar niet alle verkeersovertreders zijn met de auto.
ik denk bvb aan fietsers zonder fietslicht of die door het rode licht rijden...

Twixie @efari • 26 september 2017 14:04

De naam dan, die staat wel altijd op het PV.
Die naam werd eerst overigens zelfs getoond, waardoor het nog een grotere privacy schending was. Dan kunnen ze even goed die naam gebruiken als deel van de authorizatie.

D.Ramakers

26 september 2017 12:27

Ik snap het bestaansrecht van de site niet eens. Bak gewoon een QR code in voor betaling met app (Standaard bankcontact app of de bank haar eigen app) en het is klaar.
Zelfs voor leken kan er dan niets mis gaan (ok brieven die verstuurd worden door derden met kwaadwillige bedoelingen even ter zijde).

De hele opzet van de site is dat er minder gezocht moet worden naar foute betalingen van mensen...

Verwijderd @D.Ramakers • 26 september 2017 13:16

Dat sowieso. Ik snap nog steeds niet waarom er op acceptgiro's en facturen niet standaard een QR code wordt gezet. Niets meer overtikken, met het risico op tikfouten. Met iDeal werkt het prima.

supersnathan94 @D.Ramakers • 27 september 2017 22:21

En vervolgens wel vragen om een random nummer sequentie mee te geven als omschrijving bij een bankoverschrijving.

Nonkel Buck 26 september 2017 12:35

Ik heb dit nieuws 3 weken geleden gemeld op de website van VTM (4040), hebben er nooit iets mee gedaan. Als je dan nog kijkt naar het prijskaartje van deze investering (5,2 miljoen ) dan zie je dat er serieus met ons geld geknoeid is....
https://www.hln.be/nieuws...-online-betalen~a75f0b92/

D.Ramakers

@Nonkel Buck • 26 september 2017 12:48

De dag dat de staat daadwerkelijk geld bespaard met geen onzin meer te doen is nog nooit geweest en zal ook nooit voorkomen.

Verwijderd @D.Ramakers • 26 september 2017 13:17

Het is net een gewoon bedrijf....

Gomez12 @Verwijderd • 26 september 2017 13:44

Met dien verstande dat een gewoon bedrijf zelf de kosten moet dragen, waardoor er sneller iemand het controleert.

Bij de overheid is het broekzak vestzak. De boete gaat naar de begroting en de afdeling die de boete betaalde krijgt daar gewoon zijn deel weer van terug.

thePiett

26 september 2017 12:23

Dit is echt een 2001-style bug

URL parameters aanpassen, en zo toegang hebben tot de hele achterliggende database

Kenmerkend 26 september 2017 13:14

Die zuidelijke revolutionairen hadden zich ook nooit moeten afsplitsen van het moederland...

Mr777 @Kenmerkend • 26 september 2017 17:46

Moederland, my ass. Als er één land mijn moederland is, is het België wel. Laat de boel nu maar gewoon zoals die is en zet dat idee van hereniging maar vlug uit je hoofd.

Kenmerkend @Mr777 • 29 september 2017 00:53

Hereniging ontspruit uit jouw brein, die armetierige klerezooi ten zuiden van onze grens kan me gestolen worden

Overlord2305 26 september 2017 12:11

Enigzinds offtopic, kunnen we op tweakers gewoon een drank spelletje starten, elke keer dat er een overheid een ICT fuckup heeft twee slokken, bedrijf een slok (ja slokken, als je elke keer een a' twee glazen doet redden je nieren de nieuwe maand niet denk ik)

Ronald_VR 26 september 2017 16:37

Ik begrijp niet dat ze dat niet doen via de ID pas, bij alle overheidssites kun je daarmee inloggen. Of via een token, alleen voor de diehards die geen smartkaart lezer hebben, op een andere manier dan.
Of wordt de identiteit van de overtreder niet gecontroleerd? Alleen via het rijbewijs - voor overtredingen met de auto dan?

supersnathan94 @Ronald_VR • 27 september 2017 22:23

Wat dacht je van mensen uit nederland, duitsland of luxemburg die een boet krijgen in belgië? Die kunnen dat niet.

Ronald_VR @supersnathan94 • 30 september 2017 12:07

Daar heb je een punt, niet-belgen kunnen natuurlijk niet inloggen op Belgische overheidssites, ik beschouw deze dan als de andere (op een andere manier dan).

Maar indien je in een EU land woont (en daar ook de nationaliteit van hebt), zou je dan ook niet kunnen "inloggen" indien deze persoon ook een ID pas heeft van zijn nationaliteit? Da zou pas interessant kunnen worden.

supersnathan94 @Ronald_VR • 30 september 2017 13:28

Nee dat zou helemaal niet handig zijn aangezien de veiligheid van onze systemen dan afhankelijk gaat worden van hoe veilig systemen van externen zijn. Inloggen met DigID kan nu alleen bij nederlandse overheidsinstellingen die gecontroleerd worden door de nederlands overheid. Als we straks ook externe partijen toe gaan laten moeten er ineens veel meer partijen op dit systeem aangesloten gaan worden waardoor het een grote wildgroei van adapters gaat worden waar authenticatie moet worden afgedwongen voor verschillende landen. Zo zou belgie bijvoorbeeld de systemen van nederland, frankrijk duitsland luxemburg en ms zwitserland en UK ook moeten gaan ondersteunen. Dat schiet niet echt op qua IT complexiteit.

Ronald_VR @supersnathan94 • 1 oktober 2017 09:18

En als die systemen maar alleen de "basis gegevens" opvragen? Naam-adres, je moet toch inloggen met je persoonlijke pincode, die - veronderstel ik - alleen voor jou bestemt is.

Ik geef eens een voorbeeld hoe je je IDpas zou kunnen gebruiken in een prive toepasssing:
Je hebt een hotel geboekt, je komt aan de receptie en je moet een formulier invullen met je gegevens (ik weet niet in hoeverre dat verplicht is). Dat zou je toch via je IDpas kunnen doen, je kaart in een kaartlezer doen, het systeem leest de "basis gegevens" en deze worden automatisch in het systeem van dit hotel ingevoerd.
En trouwens, in België is de eID software vrij beschikbaar ( https://eid.belgium.be/nl )

PS, heb ff mijne kaartlezer eens terug uitgeprobeerd, deze leest mijn "basis gegevens" zelf uit ZONDER dat ik een pincode moet gebruiken.
Basis gegevens IDpas;
Naam; Voornaam; Geboorteplaats; Geboortedatum; Geslacht; Nationaal nummer; Nationaliteit; Titel(?); Speciale status(?); Straat. Postcode; Gemeente; Kaartnummer; Plaats van afgifte; Chip nummer; Geldig vanaf; Geldig tot; en natuurlijk je foto.

[Reactie gewijzigd door Ronald_VR op 23 juli 2024 22:51]

supersnathan94 @Ronald_VR • 1 oktober 2017 13:26

En dat is dus precies waar ik fel op tegen ben. Een hotel hoeft niet te weten wat mijn bsn is bijvoorbeeld. Een kopie van mijn id of rijbewijz mag. Hier zet ik echter zelf een handtekening op met de reden van uitgifte. BSN wordt volledig onleesbaar gemaakt. De enige die daar wat mee mogen doen is mijn werkgever, overheidsinstanties en mijn bank. Niet meer en niet minder. En dit doen we uiteraard allemaal analoog en niet digitaal zoals belgië wel doet en waar nederland ws ook naartoe wil.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (61)

Sorteer op:

Weergave: