Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Organisaties hoeven geen melding meer te doen als ze persoonsgegevens verwerken

De Autoriteit Persoonsgegevens heeft laten weten dat organisaties vanaf 6 november geen melding bij de toezichthouder meer hoeven te maken, op het moment dat ze persoonsgegevens verwerken.

Tot 25 mei 2018 kunnen organisaties nog steeds melding doen van het verwerken van persoonsgegevens, maar vanaf dinsdag zal de toezichthouder niet meer handhavend toezien op de naleving van deze meldplicht. Deze verandering hangt samen met komst van de Europese privacyverordening, de zogeheten Algemene verordening gegevensbescherming, die op 25 mei 2018 overal in de EU wordt ingevoerd.

Er is nog wel een meldplicht als er sprake is van gegevensverwerking met een bepaald risico. Het kan dan bijvoorbeeld gaan om het voornemen om voor derden strafrechtelijke gegevens te verwerken. In zo'n geval doet de toezichthouder een voorafgaand onderzoek, waarbij wordt gekeken of aan de eisen van de wet wordt voldaan. Pas als dat het geval is en de AP goedkeuring geeft, kunnen de gegevens worden verwerkt. Volgens de Autoriteit Persoonsgegevens zorgt het stoppen van het handhaven op de meldingsplicht voor een aanzienlijke verlichting van de administratieve lasten voor organisaties.

De Algemene verordening gegevensbescherming brengt een aantal belangrijke veranderingen met zich mee. Zo moeten EU-burgers beter geïnformeerd worden over de verwerking van hun persoonsgegevens, bijvoorbeeld in welke gevallen deze aan een derde partij worden doorgegeven. Daarnaast wordt het recht om vergeten te worden versterkt en verduidelijkt. Dit recht kwam voort uit een uitspraak van het Hof van Justitie en houdt onder andere in dat zoekmachines zoekresultaten met betrekking tot personen op verzoek moeten verwijderen als deze niet meer relevant zijn of niet meer kloppen.

Daarnaast krijgen privacytoezichthouders meer bevoegdheden en kunnen zij een boete aan organisaties opleggen die oploopt tot vier procent van de jaaromzet, waarmee effectieve handhaving mogelijk gemaakt moet worden. Gebruikers krijgen de mogelijkheid om hun persoonsgegevens van de ene dienstverlener naar de andere over te hevelen door regels over data portability. Tot slot moeten bedrijven een 'Data Protection Officer' aanstellen en is er een Europese vorm van de meldplicht datalekken ingevoerd.

Door

[HQ] Nieuwsredacteur

101 Linkedin Google+

Lees meer

Reacties (101)

Wijzig sortering
Mooi. Dat geeft organisaties meer tijd en focus om ook zorgvuldig om te gaan met het verwerken van die persoonsgegevens zoals vanaf mei 2018 verplicht wordt.

En het geeft natuurlijk ook de Autoriteit Persoonsgegevens minder werkdruk. Zodat ze de voorzitter ook weer tijd krijgt voor zijn 13 nevenfuncties. Waaronder zijn toezichthoudende rol bij Brein-lid SENA.

*3x3 blijft het extreem stuitend vinden dat de Autoriteit Persoonsgegevens nog altijd Prioriteit blijft geven aan het verlenen bijzondere toestemming voor het zowel ongevraagd als ongeÔnformeerd verzamelen van persoonlijke gegevens aan copyright-ondernemingen terwijl het stelselmatig te weinig capaciteit heeft voor haar kerntaak, het beschermen van de burger tegen misbruik van zijn privegegevens.

[Reactie gewijzigd door 3x3 op 6 november 2017 20:43]

En het geeft natuurlijk ook de Autoriteit Persoonsgegevens minder werkdruk. Zodat ze de voorzitter ook weer tijd krijgt voor zijn 13 nevenfuncties. Waaronder zijn toezichthoudende rol bij Brein-lid SENA.
Misschien moet je je eens verdiepen in hoe bedrijven en organisaties geleidt worden. En dan met name hoe een raad van toezicht werkt.

Een raad van toezicht houdt toezicht op het reilen en zeilen van een organisatie en wordt juist samengesteld uit onafhankelijke leden met specifieke kennis. Het doel is juist om te zorgen dat de bestuurders van een organisatie in hun ijver om de doelen van de organisatie te bereiken (al dan niet in de vorm van een prestatiebonus voor het behalen van zeer vaag geformuleerde targets) het grotere plaatje van recht en regelgeving niet uit het oog verliezen.
Leden van de raad van toezicht zijn niet afhankelijk van de resultaten van de organisatie en zijn vaker juist een luis in de pels van de bestuurders, dan dat ze die bestuurders toejuichen. Een groot aantal van dit soort nevenfuncties (die elk niet meer dan een paar dagdelen per jaar aan werk kosten) is juist een teken dat een lid van een raad van toezicht het zich niet kan permitteren om ťťn van die bedrijven voor te trekken of te begunstigen in een andere functie.
Voor een paar dagdelen 18.000 euro vangen. ;) Afhankelijk van de grootte van de organisatie wordt er tegenwoordig gerekend met 12 tot 24 uur per maand om je functie goed te kunnen uitoefenen. Voor een voorzitter komt daar nog 50% bij. Met 13 nevenfuncties wordt dat dus moeilijk. Het is ook niet voor niets dat de code tabaksblad een maximum van vijf commissariaten voorschrijft.
Je betaalt voor ervaring, niet voor het aantal uren dat ze werken. Je kunt vast ook commissarissen vinden die het voor een tientje doen, maar dan kan je je afvragen of dat wel zo goed is voor het bedrijf... Een beetje vergelijkbaar met het verhaal van die superervaren monteur die een machine met 1 klap op de juiste plek weer aan de praat kreeg en voor die korte activiteit veel geld vroeg...
Voor een paar dagdelen 18.000 euro vangen. ;) Afhankelijk van de grootte van de organisatie wordt er tegenwoordig gerekend met 12 tot 24 uur per maand om je functie goed te kunnen uitoefenen. Voor een voorzitter komt daar nog 50% bij. Met 13 nevenfuncties wordt dat dus moeilijk. Het is ook niet voor niets dat de code tabaksblad een maximum van vijf commissariaten voorschrijft.
Dan heb je het over grote commerciŽle concerns, met veel bedrijfsonderdelen die allemaal aandacht vergen. Dat geldt niet voor relatief kleine stichtingen waar het hier over gaat. Maar dan zegt het nog niets over de (on)afhankelijkheid van de organisatie waar hij is benoemd in de raad van toezicht.
Je onderschat het. Bijvoorbeeld in het onderwijs wordt voor een gewoon lid van de RvT al met 12 uur per maand gerekend. Sinds WNT-2 gaat men uit van een grotere inzet en meer verantwoordelijkheid van de RvT en dus ook meer uren.
Ik geloof dat je met onderwijs wel het meest complexe pakket aan wet- en regelgeving te pakken heb waar je als kleine organisatie mee te maken kan krijgen. Ook zijn dat organisaties waar de ondersteunende taken tot op het bot zijn wegbezuinigd, waardoor de raad van toezicht enorm belangrijk is. Dat staat in geen verhouding tot non-profit organisaties voor een goed doel of het behartigen van belangen.
Je maakt nu wel enkele leuke aannames. Hoe wil je toestemming vragen voor het verzamelen van persoonsgegevens wanneer het doel net is om deze personen op te sporen? Hoe denk je dat het verlenen van die toestemming (waarschijnlijk een advies van een enkele jurist) heeft bijgedragen aan het tekort aan capaciteit? Zeker wanneer dat tekort pas verwacht wordt bij het invoeren van de nieuwe europese privacy richtlijn volgend jaar?

En ik daag je uit: ga eens op zoek naar een persoon in een vergelijkbare functie die geen hoop nevenfuncties heeft? Hoe denk je dat zulke mensen op zulke posities geraken?
Het feit dat het geen nieuws is dat de voorzitter 13 nevenfuncties heeft, en daarom op de positie zit waar hij nu zit, is m.i. nog erger.
We moeten met z'n allen hartelijk lachen om het gestuntel en geklooi aan de overkant van de grote plas, maar hier in Europa gaat het er net zo aan toe, alleen is het een stuk minder evident.
Wtf brein als neven functie. Dit kan toch niet belangenverstrengeling?
Wolsen houdt geen toezicht bij Brein.
Maar bij SENA een van de aangesloten organisaties bij Brein.
Dat is toch wel een verschil.
Ik ben bang dat ze dit alleen doen om de werkdruk bij zichzelf te verminderen, want ze kunnen al die aanvragen echt niet beoordelen.

Zo wordt de AP meer een bureaucratisch moloch die alleen maar wetten en richtlijnen uitvaardigt door tig-lagen van managers die feitelijk niets doen. Ook leggen ze boetes op om zichzelf te kunnen financieren.

Het recht om vergeten te worden wordt ook (opzettelijk) onderbelicht door bedrijven.Eigenlijk wil ik zoveel mogelijk organisaties aanschrijven om al mijn gegevens te wissen, zoals Albert Heijn met hun Bonus Kaart. Het is totaal onduidelijk wat ze ermee doen en aan wie ze het doorverkopen. Als ik hen het laat wissen wordt het dan ook bij die derde bedrijven gewist? Ik denk het niet eerlijk gezegd.

[Reactie gewijzigd door ArtGod op 7 november 2017 07:36]

Hou toch eens op met die nonsens! Je verzint van alles bij elkaar en verkoopt dan als je waarheid. Maar het is gewoon een verzinsel. Brein en Sena zijn verschillende stichtingen, onafhankelijk. Dat iemand een RvT functie daar heeft maakt niet dat er sprake is van belangenverstrengeling.
Ook wil je van een voorzitter een slaaf maken, hij mag blijkbaar geen nevenfuncties hebben. Maar de man is voorzitter, omdat hij dat goed kan, voorzitten. Dat heeft met de uitvoering niet zo gek veel te maken. Het is dus ook volkomen logisch dat zo iemand zijn talenten ook elders inzet. Hij rapporteert dit netjes. Het lijkt er op dat je haat tegen Brein (waarom eigenlijk, ze operen binnen de wet en zijn voor handhanving van de auteurswet) je een blinde vlek geeft voor iedereen die daar wel eens in de buurt komt. Want daar zit de overeenkomst, hetzelfde bedrijfsverzamengebouw.
Ik hoop dat dit betekent dat ik eindelijk BSN mag gebruiken voor het matchen van gebruikers in m'n tig systemen. Ik ben alleen geen jurist dus dat moet nog even uitgezocht worden.

[Reactie gewijzigd door deadlock2k op 6 november 2017 20:39]

Ligt er aan over wat voor een organisatie je het hebt:
Het BSN is in de eerste plaats bedoeld voor het contact tussen burgers en de overheid en voor overheden onderling. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Het nummer ondersteunt een foutloze uitwisseling van persoonsgegevens door overheidsorganisaties. Een organisatie is verplicht om te controleren of u en het BSN bij elkaar horen.
https://www.rijksoverheid...s/burgerservicenummer-bsn
Dit stukje tekst slaat puur en alleen op de huidige wetgeving, niet op de aankomende.

Edit: Voortgezet Onderwijs werk ik.

[Reactie gewijzigd door deadlock2k op 6 november 2017 21:22]

Volgens het artikel verandert er niks aan het verwerken van bijzondere persoonsgegevens, zoals het BSN, daarvoor blijft dus een meldplicht. Dus je moet het eerst melden, en dan controleren zij of het mag, en dan mag je gewoon BSN gebruiken.
BSN is geen bijzonder persoonsgegeven meer in de GDPR/GDI: https://autoriteitpersoon...bijzonder-persoonsgegeven

Het is allemaal nogal ambigu op dit moment dus. Alleen vanwege de verwoordingen heb ik goede hoop.
Voor mij persoonlijk voelt het BSN nog steeds als een bijzonder persoonsgegeven. Begrijp niet wat de reden is om de regeling rond het BSN te grabbel te gooien. Dat is een slecht idee.
Op de link die ik postte staat dat het misschien geen bijzonder persoonsgegeven is maar dat dat niet betekent dat je er niet heel voorzichtig mee om moet gaan. En dat lijkt me niet meer dan logisch.

De reden is harmonisatie binnen de EU.
Dank voor de verduidelijking. Het is een kwestie van wat de definitie van bijzonder persoonsgegeven. Ik en met mij heel veel ZZP'ers (eenmanszaak) balen er nog steeds van dat we ons persoonlijke BSN op iedere van onze factuur moeten zetten in de vorm van het BTW-nummer. Dat is heel fijn als je toevallig een keer een klant hebt die kwade bedoelingen heeft en wraakzuchtige kapriolen gaat zitten uithalen met het BSN nummer. Aanvragen van toeslagen en andere rampen. Gelukkig nog niet meegemaakt maar de angst is nog steeds niet weggenomen in ZZP-land. De Belastingdienst had jaren geleden nog een tweede fantastisch idee. Geef je login aan je buurman of neef die je helpt bij de belastingaangifte. Dat was werkelijk geniaal. Daar zijn uiteindelijk ook kamervragen over gesteld. Evenzo over de BTW-nummer-blunder bij eenmanszaken. De overheid maakt er bij tijd en wijle zelf een behoorlijk potje van. Het is goed dat er een Europese richtlijn aankomt die duidelijk uiteenzet hoe we in de toekomst met persoonsgegevens omgaan. Het is nu wachten op de eerste procesgang waarin een Europese rechter een orgaan van de Nederlandse overheid op de vingers gaat tikken voor onverantwoorde omgang met persoonsgegevens. Het zit er dit in dat dit eraan gaat komen.
Je zult moeten wachten op de uitvoeringswet waarin dit formeel voor Nederland wordt bepaald. Maar om alle illusies alvast weg te nemen: het blijft hetzelfde. BSN mag ook onder de AVG alleen gebruikt worden als dat wettelijk is bepaald.
Het AP zegt letterlijk op hun eigen website dat het nog niet bekend is of het dat blijft omdat de AVG nog niet af is. Met dit nieuwe kabinet, dat best wel lak heeft aan privacy blijkend uit hun standpunt over de sleepwet, is mijn hoop volgens mij vooralsnog niet ongegrond. Maar zoals ik zeg; juristen en externe expertise en de overheid zelf moeten hier duidelijkheid over geven.

Of ze staan salted BSN-hashes gewoon toe natuurlijk, dan is m'n probleem ook opgelost ;)
Salted BSNs heb ik ook zo terug naar het origineel hoor: gewoon brute forcen met jouw salt en alle mogelijke BSNs.
Op SHA256 gaat dat volgens mij nog wel even duren, helemaal als je geen rechten hebt om de BSN's uit te lezen, eDirectory heeft daar een hele praktische rechtenstructuur voor en security principals als "Public" hebben bij ons nergens rechten op. Je kan je eigen gegevens anders dan de gegevens in Office365 niet eens bekijken als je via LDAP inlogt, laat staan je BSN of een hash daarvan. En als je fysiek toegang hebt tot de servers is er ergens anders al wel iets misgegaan.

Het heet een Identity Vault met een goede reden natuurlijk.

[Reactie gewijzigd door deadlock2k op 6 november 2017 21:45]

Mijn punt is dat als een hacker jouw gehashte BSNs bemachtigd heeft, hij slechts alle BSNs af hoeft te gaan met jouw hashing algoritme en salt. Het hashen voegt niets meer toe aan de veiligheid.

Er zijn 91 miljoen geldige BSNs, met een GPU kun je makkelijk 500 miljoen SHA256 per seconde doen.
Ja, dat is een prima punt. Dat is alleen voor zover nu bekend goed afgetimmerd. Waterdicht bestaat niet, maar de gebruikte technologie (old school Novell for the win) is door de jaren heen behoorlijk bestendig gebleken tegen hackpogingen. Uiteraard zijn er ook andere maatregelen genomen naast blind vertrouwen op de onderliggende technologie, zo draaien koppelingen met andere systemen niet onder een gebruikersaccount dat gegevens kan uitlezen maar maken ze gebruik van security equivalence van rollen, met een rol is het fysiek onmogelijk om in te loggen op een server. Daarnaast is per koppeling afgebakend per directory attribuut of er gelezen of geschreven mag worden (het is niet zo zwartwit, er is een lijst met rechten die je per attribuut per object kan afgeven, met inheritence indien nodig). En mensen mogen alleen inloggen met een extra factor, waarbij SMS uitgesloten is, ik gok eigenlijk dat de data in onze ID-kluis beter beveiligd is dan die in het HR-systeem.

Data wordt nooit direct exposed naar andere systemen. Vorig jaar hebben we centraal een helpdeskpakket uitgerold en die synced via een LDAP-koppeling, dat betekent dus dat er op de Firewall een LDAP-server gepubliceerd wordt en dat alleen de service provider hierbij mag. Levert ook met enige regelmaat gezeur op als de publieke IP-adressen van de SP weer eens wijzigen natuurlijk. Al die communicatie gaat alleen over TLS en de proxy-user waarmee ze data lezen heeft alleen leesrechten op de gegevens die ze nodig hebben om te kunnen functioneren in de applicatie. Deze systemen staan los van de Identity Vault en worden daardoor gevoed. Wordt dit systeem gecompromitteerd dan hebben we nog steeds te maken met een datalek en gaan we volgens de meldplicht de boel melden maar de bulk-data, de heilige graal, is nog steeds veilig. Je hebt dan wel de beschikking over alle e-mailadressen van alle collega's en van hun naam.

Kortom, ik heb vertrouwen in de huidige opzet qua security. Ik ben best bereid om dit voor een commissie te verdedigen en te verantwoorden en ik vind dat naar aanleiding van deze opzet de verwerking binnen ons eigen systeem van iets als BSN geoorloofd zou moeten zijn, in ieder geval in de publieke en semi-publieke sector.
Klinkt mij alsof er goed is nagedacht over de beveiliging. Ik ken zelf de Identity Vault niet zo goed, maar kan me prima voorstellen dat je vindt dat de AP jou binnen de (semi-)publieke sector zou moeten kunnen toestaan BSNs binnen die beveiligde systemen zou moeten toestaan.
Het salten en hashen van variabelen binnen een beperkte zoekruimte voegt alleen niet zoveel toe aan die beveiliging en zou zelfs voor een vals gevoel van veiligheid kunnen zorgen. :)
Daar heb je volledig gelijk in. Waar het mij meer om gaat is, mocht er ooit een screenshot van een account op een gestolen laptop staan waar een of andere beheerder op ingelogd is geweest en waar geen full disk encryptie op actief was, dat het niet te herleiden is naar de oorspronkelijke data. Dat is met deze methode wel zo goed als uitgesloten. Ik heb er geen veilig gevoel bij verder ;)
Ooit laten pentesten?
Staat op de rol voor volgend schooljaar, dat heeft vooral te maken met het overzetten van mensen naar een nieuwe MFA-methode en bijbehorend SSO-project.
Wat voor informatie vergaar jij waar je een BSN voor nodig hebt?
Ik vergaar geen informatie. Ik werk in het onderwijs. Al onze systemen bevatten alle BSN's van alle gebruikers maar we mogen het niet gebruiken om identities aan elkaar te koppelen. Een vergunning om BSN te gebruiken wordt specifiek voor een bepaald doel afgegeven, dus voor leerlingen mogen we deze gebruiken om te koppelen met BRON (dat is een systeem van DUO) en ook met bijvoorbeeld de BRP (basisregistratie personen, wat vroeger het bevolkingsregister was), en er is nog een vergunning uitgegeven voor gebruik voor zorgdoeleinden, de kinderen met een beperking bijvoorbeeld.

Het HR-systeem bevat ze ook maar daar hebben we alleen een vergunning voor data-uitwisseling met de Belastingdienst.

Wat ik hiervoor bedacht heb is dat we BSN, die uit al deze systemen op de een of andere manier clear text krijgen (en wij beheren die systemen niet, dat is allemaal cloud-meuk en de manier waarop ze het doen is toegestaan) op de SOAP of REST interface waar we mee koppelen. Vervolgens doe ik een SHA256 berekening, salted uiteraard. De clear text BSN wordt niet opgeslagen dus. Volgens de ene contactpersoon bij de verantwoordelijke overheidsinstanties (ACM en AP) mag dit wel en volgens de ander niet.

De lastigheid zit hem vooral in het HR-systeem (YouForce, maar ik geloof dat de andere grote spelers hetzelfde doen), waarbij ťťn persoon meerdere keren als natuurlijke identiteit uitgespuugd kan worden. Er werkt een tweeling bij ons, zelfde geboortenaam, zelfde initialen, noem maar op, dan is dit de enige echt betrouwbare methode die je kan gebruiken om die identiteiten aan elkaar te koppelen. Maar op dit moment is dat dus ůf verboden ůf de overheid kan geen consequent antwoord geven op de vraag of het verboden is of niet, en in dat geval kan je het maar beter niet doen.

Volgens mij verandert dat met deze nieuwe wetgeving. En dat is goed nieuws, want dat betekent dat we zo een FTE kunnen besparen, wat betekent dat er 60.000 tot 70.000 euro per jaar extra in het onderwijs (kleinere klassen, minder werkdruk) geÔnvesteerd kan worden in plaats van in een persoon die niet zo heel nuttig werk doet.

[Reactie gewijzigd door deadlock2k op 6 november 2017 21:14]

Voor de tweeling heb je niet een BSN nodig maar kan je ook je eigen unieke nummer gebruiken natuurlijk denk ik.
En ze hebben hopelijk niet allebei dezelfde voornaam. :)

[Reactie gewijzigd door Soldaatje op 6 november 2017 21:54]

Ja, dat heeft de HR-leverancier ook bedacht. Het probleem is alleen dat we die dus handmatig moeten invoeren in alle bronsystemen die aangesloten worden en waar al identities in aanwezig zijn.

Ik zal niet liegen; het grootste probleem is de HR-kant omdat ťťn persoon daar meerdere keren uitgespuugd kan worden. Maar dat is nog niet het enige, de koppeling van het HR-systeem exporteert geen vrije velden op hun koppelvlak. Dus ik kan dat nummer niet invoeren op een manier dat het iets betekent. Een fout maken in BSN is ontzettend lastig in de praktijk, een fout in een willekeurig ander nummer is zo gemaakt, ik kan niet zomaar beslissen dat op een bepaald veld een 11-proef moet plaatsvinden bijvoorbeeld. Tenzij ik een eigen HR-systeem ga schrijven. En dat is niet te doen.

Edit: In de VS bestiert een vriend van me een IDM systeem met 1,2 miljoen actieve gebruikersaccounts en nog een paar honderdduizend in de graveyard (grote universiteit en alumni zijn daar echt een ding). Daar mogen ze Social Security Number ook niet gebruiken om te matchen. Ze hebben daar drielingen met dezelfde initialen, tweelingen met dezelfde halve voornaam. En dat is nog exclusief de menselijke invoerfactor, hehehe. Problemen te over, oplossingen zijn moeilijk.

[Reactie gewijzigd door deadlock2k op 6 november 2017 22:22]

Hilarisch! Drielingen met dezelfde voorletters, welke gek bedenkt zoiets? Dat zou de burgerlijke stand moeten weigeren.
Ben ik met je eens. Elk mens is uniek en elk lid van een meerling is een uniek individu. M.i. horen daar ook eigen initialen bij.
Elk mens is uniek, en daarom moet je volledige namen gebruiken en geen initialen. En zelfs dan zullen er nog zat Jan Jansen's en Karel de Vries'en rond lopen....
Moet de burgerlijke stand ook de volledige database gaan checken om te kijken of er nog iemand is met dezelfde initialen en achternaam?
We moeten geen namen gaan bedenken omdat de heren programmeurs het net even makkelijker zouden hebben.
Dan krijg je veel hits. In veel families is het traditioneel dat kinderen dezelfde/afgeleide naam hebben als/van een van de ouders/grootouders. Ikzelf heb bijvoorbeeld dezelfde initialen als mijn vader (en dat komt echt heel vaak voor). De exacte initialen en volledige doopnamen van mijn broer komen in de familie minstens vier keer voor (hij, een neef van me, een oom van me en mijn grootvader aan vaders zijde). Gelukkig wel allemaal met andere geboortedata. Hoewel mijn broer en die neef wel nagenoeg even oud zijn. Met een vleugje extra toeval zou dus zelfs de geboortedatum nog kunnen matchen.

De oplossing is inderdaad het BSN nummer, maar dat mag slechts in sommige situaties gebruikt worden, juist omdat het dus uniek is.

Een andere gedeeltelijke oplossing is het document nummer van je ID. Deze mogen voor veel meer zaken gebruikt worden dan het BSN. Echter die nummers veranderen wanneer je een nieuw document aanvraagt/krijgt en zijn dus niet altijd afdoende.
Hilarisch! Drielingen met dezelfde voorletters, welke gek bedenkt zoiets?
De ouders van die drielingen die denken dat het "cute" is.
Dat zou de burgerlijke stand moeten weigeren.
Dat gaat misschien weer een stapje te ver, maar het zou wel gepast zijn om als ambtenaar van de burgerlijke stand ouders op de potentiele problemen van dit soort keuzes te wijzen. Grote kans dat ze daar helemaal niet aan hebben gedacht bij de keuze van de namen.

[Reactie gewijzigd door Enantiomeer op 7 november 2017 04:38]

Waarom? Computer says no? Alles moet maar in een hokje passen, niks mag erbuiten. Not cool!

Neem bijvoorbeeld namen van mensen, oh dat is nog on topic ook. In vele landen heb je niet zoiets als middle name, of soms zijn voornaam en achternaam omgedraaid, of bestaat een van de twee niet, of gebruiken ze geen initialen. Toch moet alles in een hokje passen! In plaats daarvan zou even verder gedacht kunnen worden en besloten kunnen worden om iets als "full name" te gebruiken, of "display name" in nerd terminologie met UTF-8 encoding en de rest gewoon achterwege te laten. Heb je ook maar 1 database kolom nodig.
Als je mensen hebt met dezelfde naam (roepnaam, voornamen, achternaam) en verschillende geboortedatums dan is dat prima te verwerken. Het gaat pas lastig worden als meer mensen met exact dezelfde naam ook nog eens op dezelfde dag (jaar-maand-dag) zijn geboren. Daarom slaan we ook altijd de geboorteplaats op. Voor het geval er op hetzelfde moment twee maal een Gerrit de Jong wordt geboren eentje in Amsterdam en de ander in Rotterdam. Een tweeling met exact dezelfde naam of een drieling met dezelfde initialen is gewoon idioot. Niet alleen vanuit een technisch oogpunt maar voornamelijk vanuit een menselijk (maatschappelijk) oogpunt. Ouders die dat doen mogen wat mij betreft in therapie. Je noemt je tweeling geen Rembo en Rembo of je drieling geen Kwik, Kwek en Kwakje. Ga maar lekker sparen voor legeskosten die je nodig hebt voor de naamsverandering en zorg dat iedereen een mooie eigen naam heeft en voorletters die niet al eens in hetzelfde gezin voorkomen.
Drielingen met dezelfde voorletters, welke gek bedenkt zoiets?
Als de koning zijn dochters Amalia, Alexia en Ariane noemt, is dat allemaal niet zo vreemd.
We leven in een vrij land. Je mag je kinderen, tot op zekere hoogte, zo noemen als jij wilt. Als je daarbij al nadenkt over de luie programmeurs dan ben je waarschijnijk zelf zo'n programmeur.
De prinsessen hebben verschillende geboortedatums dus daar speelt het probleem niet. De problemen ontstaan wanneer dezelfde geboortedatum in combinatie met dezelfde achternaam en voorletters voorkomt en daar doen we voor het gemak nog dezelfde geboorteplaats bij. Op dat moment heb je een kans dat er dingen mis gaan. Niet alleen in geautomatiseerde systemen hoor, ook in dagelijkse omgang is dit gegeven gewoon knap lastig.
Snap ik. Maar het kan je overkomen dat je tot 3x dezelfde voorletter komt. Ook als je met een drieling gezegend bent. Zo raar is het eigenlijk niet. Dat het onpraktisch is "wie mag die brief voor A. van Oranje Nassau open maken?" blijkt pas later.
Voor de tweeling heb je niet een BSN nodig maar kan je ook je eigen unieke nummer gebruiken natuurlijk denk ik.
En ze hebben hopelijk niet allebei dezelfde voornaam. :)
Dat hebben ze vast niet, maar die voornaam wordt misschien niet in alle talen hetzelfde gespeld. Of het verschil tussen officiŽle voornaam en roepnaam is niet in alle culturen even helder. Of er worden fouten gemaakt bij de invoer. In RL is die laatste 0.001% eigenlijk niet te halen zonder handmatig ingrijpen.

[Reactie gewijzigd door TheekAzzaBreek op 7 november 2017 05:52]

Of mensen gewoon met hun voorna(a)m(en) in het systeem zetten en niet alleen met initialen.
BSN is niet 100% uniek, hoor. Er is een beperkte set nummers die tijdelijk in noodgevallen wordt gebruikt, bij ongedocumenteerden. BSN is heel betrouwbaar, maar die 100% haal je net niet.

En het hoeft ook niet gauw, Toevallig klus ik nu ook in het onderwijs, ander pakket, same shit. Op een niet te grote populatie van enkele tienduizenden heb ik al 98.5% match op maar twee criteria: geboortedatum en achternaam. Een of twee criteria er bij en je zit al op 99%+. Het belang (of de populatie) moet wel groot zijn om daar overheen te moeten.

Los daarvan: je voorbeeld lijkt me kosher. Het oorspronkelijke gegeven is niet herleidbaar, zo op het oog. Als het doel van de matching spoort met doel en voorwaarden waaronder dat gegeven was afgegeven, en dat doet het al gauw ("betere dienstverlening"), dan zou er niks aan de hand moeten zijn. Dat die twee toezichthouders geen eensluidend oordeel af kunnen geven is ronduit genant.
BSN's zijn op dit moment altijd uniek. De overheid geeft ze simpelweg niet twee keer uit. De BSN's die aan nieuwkomers worden uitgedeeld wijken ook iets af geloof ik.

De collisions van de andere gegevens lijken statistisch verwaarloosbaar maar een tweeling met dezelfde initialen komt binnen een organisatie als de onze ťťn keer per 5 jaar voor geloof ik. Geslacht is niet betrouwbaar, namen wijzigen, geboorteplaatsen wijzigen niet maar dat is bij tweelingen ook meestal wel hetzelfde. Nieuwkomers mogen echter wettelijk niet bij ons werken en dus speelt het probleem daar niet bij. Leerlingen worden zo'n beetje een halve week nadat ze vertrekken bij ons definitief verwijderd uit onze IT-systemen, op de bronsystemen zit een heeeele lange wettelijke bewaartermijn maar wij hebben er expliciet voor gekozen om ze praktisch direct voor eeuwig te verwijderen. Bij medewerkers zit dat iets anders in elkaar omdat die lui aan de lopende band een half jaar tot 5 jaar uit dienst gaan en dan terugkomen en dan verontwaardigd zijn als ze hetzelfde mailadres niet terugkrijgen dus op verzoek van de organisatie gooien we bijna alles weg behalve mailadressen en we zouden juist daar graag een match-attribuut bij hebben. Als je van HR-provider wisselt in de periode dat een gebruiker de status uit dienst en het account dus in de graveyard staat, dan wil onze organisatie dat dat vloeiend verloopt met vooral de oude mailadressen intact en ik ben daar voorstander van.
Nope... In het verleden heeft de overheid hetzelfde nummer wel eens twee keer uitgegeven, door een administratieve fout als ik het me goed herinner. Hebben ze maar zo gelaten... 8)7

Bron: beide personen waren ingeschreven als patiŽnt bij hetzelfde ziekenhuis, waardoor je hier als software-leverancier mee geconfronteerd wordt.

[Reactie gewijzigd door SubSpace op 7 november 2017 03:34]

Dat lijkt me erg onwaarschijnlijk. Juist voor de overheid is het BSN hťt identificatiemiddel. Voor de Belastingdienst worden lonen, bankrekeninggegevens, hypotheken en woningbezit op basis van het BSN aan elkaar gekoppeld. Twee verschillende personen met hetzelfde BSN levert elk jaar opnieuw zoveel problemen op dat niemand het in z'n hoofd zou halen om het zo maar te laten.
Leek mij ook in eerste instantie, maar die mensen hadden op het moment dat het probleem gemeld werd al tientallen jaren hetzelfde SoFi-nummer. BSN bestond toen nog niet zo gek lang volgens mij.
Dat is toch haast niet voor te stellen? Weet je ook of dit uiteindelijk is opgelost, of staan er nog steeds twee natuurlijke personen onder hetzelfde BSN in jullie systemen?
Dat is ongetwijfeld een incident geweest en geen overheidsbeleid.
Hier: internationaal volk, on-site en remote, data entry op verschillende plekken van verschillende kwaliteit en IDM ziet rollen (student, docent, dienstenleverancier) als identiteiten. We lossen dat op door separaat te matchen in een soort super identiteit met een eigen sleutel, inclusief een mogelijkheid om met de hand in te grijpen. IDM maakt dat vervolgens beschikbaar aan geÔnteresseerde applicaties (voorlopig alleen BI).
Vervolgens doe ik een SHA256 berekening, salted uiteraard. De clear text BSN wordt niet opgeslagen dus.
Wat is het doel van dit gegoochel?
Aangezien een BSN uit negen cijfers bestaat, en SHA256 zeer snel/efficiŽnt berekend kan worden, zal jouw voorstel slechts een kleine belemmering vormen tegen het koppelen van informatie aan een cleartext BSN, mocht je database ooit uitlekken.
Het doel staat hierboven. Zoals ik daar expliciet in aangaf, ik heb geen invloed over hoe de data aan ons aangeboden wordt.

De beveiliging staat hier vlak onder in een post uitgebreid uitgelegd, en we gebruiken geen database, die acht ik totaal ongeschikt (Oracle en Microsoft zijn dat met me oneens trouwens) voor dit doel: deadlock2k in 'nieuws: Organisaties hoeven geen melding meer te doen als ze p...
On mijn universiteit hadden ze dit probleem opgelost met student en medewerkernummers. Waarom kan dat hier niet?
want dat betekent dat we zo een FTE kunnen besparen, wat betekent dat er 60.000 tot 70.000 euro per jaar extra in het onderwijs (kleinere klassen, minder werkdruk) geÔnvesteerd kan worden in plaats van in een persoon die niet zo heel nuttig werk doet.
Ja, want dat is hoe het werkt... :D Schattig naÔef. Voor je het weet ben jij die FTE en worden jij en je collega's vervangen door een nieuwe efficiency manager die het hele spul de cloud injaagt met behulp van ingehuurde consultants a 300 euro per uur, waarbij de eindgebruikers van het systeem met de problemen mogen vechten en nog meer tijd kwijt zijn aan "administratie" om om de bugs in de systemen heen te werken [/rant].
On mijn universiteit hadden ze dit probleem opgelost met student en medewerkernummers. Waarom kan dat hier niet?
Dat werkt prima als je ťťn bronsysteem hebt, en zoals ik aangegeven heb is dat in ons geval voor leerlingen ook helemaal voldoende. Als je meerdere bronsystemen hebt dan wordt dat verhaal heel anders. Er zijn wel technieken voor maar eenvoudig en betrouwbaar zijn ze allerminst in vergelijking met het BSN. Op universiteiten zit je met een aantal andere issues; daar kunnen studenten ook in dienst zijn. Dan wordt het echt leuk.
a, want dat is hoe het werkt... :D Schattig naÔef.
Dat is inderdaad hoe het werkt. Diverse IT-afdelingen binnen onze organisatie zijn vanwege verregaande automatisering behoorlijk gesaneerd. Ooit gehoord van natuurlijk verloop en daardoor niet hoeven te vervangen?
En als ik de FTE ben: Het zij zo. Ik zit daar in principe om mezelf weg te automatiseren. En die externe consultants lopen er nu ook al wel. Ik maak me geen zorgen. Het is ook een beetje een loze kreet van je en getuigt niet van heel veel inzicht in hoe dit soort dingen werken in de praktijk. Vooralsnog hebben we ruim 100 mensen die iets met ICT doen in de organisatie, dus ik maak me niet echt zorgen. En anders ga ik wat anders doen. Genoeg te doen als IDM-specialist.

[Reactie gewijzigd door deadlock2k op 7 november 2017 08:18]

Als je meerdere bronsystemen hebt dan wordt dat verhaal heel anders.
Hangt er allemaal vanaf denk ik, niet zo zwart en wit. En misschien is het niet heel erg om out of your way te gaan om het gebruik van de BSN te voorkomen, zelfs de hashed versie wat natuurlijk niet zo heel veel uitmaakt zoals elders ook al is aangegeven.
Dat is inderdaad hoe het werkt.
Sorry voor mijn cynisme :) Ik hoop echt dat je gelijk hebt, misschien werk jij wel bij een geweldige organisatie waar het primare doel (onderwijs) niet uit het oog verloren wordt. Mooi!
Ik zit daar in principe om mezelf weg te automatiseren.
Dit is een goede attitude, refreshing om dit te zien! :)
Sorry voor mijn cynisme :) Ik hoop echt dat je gelijk hebt, misschien werk jij wel bij een geweldige organisatie waar het primare doel (onderwijs) niet uit het oog verloren wordt
Offtopic maar toch: Dit is een heel makkelijk iets wat vaak aangehaald wordt. Daar moet bij opgemerkt worden dat, na de invoering van de lumpsum-gelden, waarbij er officieel geen potjes meer zijn, globaal dan, ze zijn er wel, zoals LWOO-gelden maar globaal bestaat de bekostiging uit ťťn zak met geld.

De lumpsum heeft wel een interne verdeling, XX% naar de GPL (personeelsbekostiging) en de rest is voor materiŽle bekostiging. De GPL is minder hard gestegen dan de salarissen, de materiŽle bekostiging heeft ik geloof een dik decennium stilgestaan, er was dus ook geen inflatiecorrectie. Tegelijkertijd werd de verantwoordelijkheid voor het neerzetten van nieuwe schoolgebouwen naar de gemeentes overgeheveld, die het geld zelf lumpsum kregen en er dus geen nieuwe gebouwen voor neerzetten maar mooie verkeerspleinen en winkelstraten aanlegden.

In principe mogen we GPL-gelden niet zomaar gebruiken voor het bekostigen van materiŽle zaken. Dat zou ook een beetje stom zijn. Maar de schoonmaak moet ook betaald worden. Twee weken geleden was in het nieuws dat toiletten in scholen heel vies zijn tegenwoordig. Tja, ze hebben geen geld.

Na dat hele verhaal; Het onderwijs heeft op de instellingen waar ik kom, en dat is toch al snel zo'n 20% van het totale voortgezet onderwijs van Nederland, altijd het primaire proces eerst in beeld en de rest faciliteert alleen maar. Vanwege echter effectief krimpende financiŽle middelen (de inflatie was 20% ofzo sinds 2000 terwijl we er maar een paar procent bij hebben gekregen) kan je de indruk krijgen dat het niet zo is. Ik heb het hier trouwens alleen over het VO, ik heb te weinig kennis van PO, MBO, HBO en WO.
Al onze systemen bevatten alle BSN's van alle gebruikers maar we mogen het niet gebruiken om identities aan elkaar te koppelen.
Ik ken de context niet dus het is mij nog een beetje vaag wat je hier precies mee bedoelt.. De wet AVG, artikel 6 beschrijft de rechtmatigheid van een verwerking. Daarnaast heb je nog artikel 9, die gaat specifiek in op bijzondere persoonsgegevens. BSN is bij de AVG geen bijzonder persoonsgegeven meer maar het kan geen kwaad om dat artikel ook eens door te lezen.

Zorg er in ieder geval voor dat je stevig beargumenteert waarom en waarvoor jij het BSN in dat specifieke geval nodig hebt. Het doel moet verenigbaar zijn met het doel waarvoor de persoonsgegevens verkregen zijn. Zo mag bijvoorbeeld een tester geen persoonsgegevens gebruiken om applicaties mee te testen, aangezien de gegevens daarvoor niet verkregen waren.

25 mei 2018, zorg dat je compliant bent!

Mijn afstudeeronderzoek ging over onderdelen van de wet AVG.
Ik heb er niets over te zeggen. Het zijn niet mijn systemen. Ik kan hooguit mijn zorgen uiten. En dat doe ik dan ook.
Op het moment dat je dat gaat doen zal ik het iig weren.

Mij bsn nummer is voor communicatie met de overheid en meer niet. Hotels en reisorganisaties hebben hier dan ook helemaal niets mee te maken.

Mijn werkgever heeft het bsn nodig om loongereletaeerde belastingaangiftes te doen (en auto en dergelijke voor bijtellingen) en daar is de kous mee af.

Hashen van BSN is totaal niet nuttig daar er te weinig mogelijkheden zijn en er dus vrij makkelijk doorheen geploegd kan worden zelfs met salting. Bsn is gewoon niet veilig op te spaan door derde partijen. Er is dan ook een reden waarom digid niet met het bsn als identifier werkt, maar met een gebruikersnaam. Het bsn kan overal vandaan gevist worden (hotels die een kopietje maken) en daarmee is het dus mogelijk een publiek gegeven.

Daarnaast. Is het je al te binnen geschoten dat kinders tot 13 jaar vaak geen ID hebben en dus niet altijd zomaar een bsn bij de hand hebben?
Mij bsn nummer is voor communicatie met de overheid en meer niet. Hotels en reisorganisaties hebben hier dan ook helemaal niets mee te maken.
Ik ben dan ook (semi-)overheid en geen reisorganisatie. Ik snap niet zo goed waarom je daar je reactie op baseert.

Tevens; Jouw BSN is niet van jou, de overheid bepaalt wat voor doel het dient en waar het bij gebruikt mag worden. Als de wet wijzigt en het wordt toegestaan, dan ga ik het daar dus wel voor gebruiken. Ik zie ook echt niet in hoe jij dat zou kunnen "weren", jij hebt daar helemaal geen kennis van als je binnen onze organisatie voor de klas komt te staan.

[Reactie gewijzigd door deadlock2k op 6 november 2017 22:19]

Iets met communicatie. Het bsn nummer is niet voor ontdubbeling van systemen, maar voor communicatie met de juiste persoon. Zoals ik al zei ook digid werkt niet met BSN als identificatie. Alleen om eenmalig te verifiŽren dat jij ook daadwerkelijk jij bent.
Zoals ik zei; Als het in de nieuwe situatie toegestaan is om het daar wel voor te gebruiken, dan zal ik het daarvoor wel gaan gebruiken. Daar kan je het niet mee eens zijn trouwens, maar wat mag dat mag.
Ja maar dat gaat dus naar alle waarschijnlijkheid niet gebeuren aangezien het BSN nummer alleen gebruikt mag worden door overheidsinstanties zoals de belastingdienst en organisaties als banken en zorgverleners. Dit gebruik is allemaal bij nederlandse wet expliciet toegestaan en anders niet. Als de europese verordening iets hierover zegt (dus het gebruik toestaat) zal dit niet boven de huidige wetgeving gaan, maar een aanvulling zijn hierop dat als het volgens lokale wetgeving mag, het op een bepaalde manier moet gebeuren. Dat het AP zegt dat ze niet weten of het voor andere organisaties toegestaan wordt slaat dan ook nergens op want dan verliest het nummer zijn hele nut.

De AVG is een basis niveau waar privacy minimaal aan moet voldoen. De nederlandse regering mag hier best strengere eisen aan stellen (zoals ze nu ook al doen).
De AVG is juist de verordening waar de eisen instaan? Daar kan je niet van afwijken tenzij op die manier benoemd in de AVG, het is geen Europese richtlijn, het is de Nederlandse interpretatie tot uitvoering van de Nederlandse interpretatie (GDI) van de richtlijn GDPR.
Precies. Maar er zal never nooit niet een eis in komen te staan dat alle bedrijven een BSN achtige identificatie moeten gebruiken, omdat de kans op datalekken dan direct exponentieel veel groter is en je dit nummertje niet eventjes kunt wijzigen. Er zijn maar weinig organisaties die toegang hebben tot het BRP en die organisaties zijn op een paar handen te tellen. In vrijwel alle gevallen gaat het hier om instanties die gegevens verwerken voor de belastingdienst (banken, werkgever), zorg (artsen, ziekenhuis, zorgverzekeraar), uitkeringen en toeslagen (UWV, DUO), veiligheid (justitie, douane) en overige overheidsinstanties. Het raadplegen van dit register kan alleen met expliciete noodzaak gegrond binnen een wet specifiek voor “het vak” (algemene belastingwet bijvorbeeld).

Onder overige organisaties vallen bijvoorbeeld het BIG register of de kanselarij der nederlandse orden. Voor deze organisaties is het absoluut noodzakelijk vanuit wettelijk oogpunt om toegang te hebben tot het BRP. Bij iets als een leerlingvolgsysteem is het dat absoluut niet. Is dit namelijk wel noodzakelijk dan is dit namelijk al wel toegestaan. Denk daarbij bijvoorbeeld aan het doorgeven van het aantal leerlingen op de peildatum. Daar dit ism DUO gaat (voor subsidies) heb je dan wel een bsn nummer nodig. Dit nummer mag in een dergelijk systeem echter alleen voor die communicatie worden gebruikt en niet voor andere doeleinden.

Als je dus nu nog niet het bsn mag gebruiken gaat daar met de AVG waarschijnlijk helemaal niets aan veranderen omdat juist voor het BSN nummer de impact te groot is. Nu al hebben we stelselmatig misbruik van dit nummer bij toeslagfraude en het zou ontzettend dom zijn als de EU het verwerken hiervan vrijgeeft. Als dat het geval is schiet de wet zijn hele doel voorbij. Meer privacy en minder kans op lekken van belangrijke gegevens.
Ik weet niet zo goed waar je je informatie vandaan haalt, maar de inschrijvingen op een school zijn gekoppeld met het BRP omdat het nodig is, denk je dat de overheid zomaar iedereen laat koppelen met de BRP? Waar denk je dat een LVS voor dient? Op 1 oktober is er een telling en aan de hand daarvan wordt de volledige bekostiging van je school bepaalt onder andere, de onderwijsinspectie gebruikt de data om voortijdig schoolverlaters (VSV'ers) te signaleren, dat zijn dus allemaal wettelijk afgebakende kaders.

Het is prima dat je er een mening over hebt, maar je hebt geen kaas gegeten van de requirements van het onderwijs. Ik heb het nog niet eens over Passend Onderwijs gehad.
Precies. Maar er zal never nooit niet een eis in komen te staan dat alle bedrijven een BSN achtige identificatie moeten gebruiken,
Euh, nee, en dat zeg ik toch ook nergens?
omdat de kans op datalekken dan direct exponentieel veel groter is
Behalve dat ik ernstige twijfels zet bij je uitspraak omdat die volgens mij nergens op gebaseerd is, is het gebruik van een BSN-achtig nummer (dus niet het BSN) behoorlijk risicoloos.
Ik weet niet zo goed waar je je informatie vandaan haalt, maar de inschrijvingen op een school zijn gekoppeld met het BRP omdat het nodig is, denk je dat de overheid zomaar iedereen laat koppelen met de BRP? Waar denk je dat een LVS voor dient? Op 1 oktober is er een telling en aan de hand daarvan wordt de volledige bekostiging van je school bepaalt onder andere, de onderwijsinspectie gebruikt de data om voortijdig schoolverlaters (VSV'ers) te signaleren, dat zijn dus allemaal wettelijk afgebakende kaders.
Bij meneer overheid zelf. Lees je wel wat ik zeg? Je eerste paar regels zijn namelijk exact wat ik op schrijf. Een LVS mag voor de communicatie met de overheid het bsn gebruiken. Dat is dus precies die telling op de peildatum. Daar MOET je zelfs het bsn voor gebruiken als het kind dat heeft (voor asielzoekende schoolgangers hebben ze dit precies aangepast zodat deze leerlingen sneller een bsn hebben).

Binnen die kaders mag jij met het LVS het bsn gebruiken. Daarom slaat het dus nergens op dat je je afvraagt of je met de nieuwe regelgeving het BSN mag gebruiken. Dat mag je namelijk nu al voor dat specfieke doeleinde.

Bsn voor ontdubbelen van systemen gaat echter nu al niet en dat gaat echter niet veranderen. Dat heeft helemaal niets te maken passend onderwijs en requirements. Hoe je erbij komt dat ik daar geen kaas van heb gegeten weet ik ook niet, maar dat maakt ook niet zoveel uit.
en dat gaat echter niet veranderen
Ik heb diverse keren gezegd dat dat dus nog maar de vraag is. Tenzij jij een magische glazen bol hebt waarin het uitvoeringsdocument al wťl klaar is.
Dat is het niet. Dat deel staat al heel goed beschreven in bijvoorbeeld de link @Maverick89 aanhaalt. Daarin staat expliciet vermeld dat de lidstaten zelf strengere eisen mogen stellen (wat Nederland al gedaan heeft voor het BSN) en dat de belangen voor privacy met bij kinderen zwaarder wegen. Wat je nu wil doen met ontdubbelingen is vanuit praktisch oogpunt heel relaxed, maar hier ga je gewoon geen toestemming voor krijgen via de wet.

Bsn is voor de eu geen bijzonder persoonsgegeven meer maar voor de nederlandse overheid nog wel.
Nee, dat mag niet. Als je het met de huidige regels niet mag, dan verandert dit niet met de nieuwe wetgeving. Uitermate frustrerend voor bv bedrijven die bepaalde bedrijfsonderdelen hebben die het BSN nummer wel mogen gebruiken en bv zijn aangesloten op de GBA (pensioensbedrijven bv) en bepaalde onderdelen die deze informatie wettelijk niet mogen gebruiken... als dan bv een klant verhuist, maar dit niet doorgeeft, dan heb je dus een bedrijfsonderdeel dat wel het juiste adres heeft, en een ander bedrijfsonderdeel dat een fout adres heeft. Vanwege de wettelijk verplichte ‘Chinese wall’ mag hier dan niets mee gedaan worden...
Heel goed vanuit een Privacy oogpunt, wat minder vanuit een praktisch en klantvriendelijk oogpunt...
Volgens de AP is het nog niet bekend, want de uitvoeringswet AVG is nog niet af:
https://autoriteitpersoon...gegeven-onder-de-avg-6010

En ik ben ook best bereid om een DPIA te doen trouwens. Het gaat meer om het mogen gebruiken met redelijk doel en uiteraard goed beveiligd.
Nadeel van BSN is dat het Šlleen gebruikt mag worden voor zaken waarvoor het wettelijk is vastgelegd. Daar gaat de nieuwe verordering niks aan veranderen.
Het ‘ontdubbelen’ van klanten valt hier niet onder, hoe goed de maatregelen ook zijn die je neemt...

Fun Fact: er komt waarschijnlijk wel een uitzondering voor het gebruik van BSN voor het ontdubbelen ten behoeve van de nieuwe eisen omtrent DGS aanleveringen die banken moeten doen vanaf 2019.

[Reactie gewijzigd door RobbieB op 6 november 2017 21:25]

Ja, maar die wettelijke vastlegging gaat dus heel erg veranderen in de AVG. Dat was het punt. Zoals ik zei; ik ga de juristen er naar laten kijken.
Fun Fact: er komt waarschijnlijk wel een uitzondering voor het gebruik van BSN voor het ontdubbelen ten behoeve van de nieuwe eisen omtrent DGS aanleveringen die banken moeten doen vanaf 2019.
Oh, dat is wel interessant om te weten. Hopen mag eah. Het zou mijn werk een stuk makkelijker maken in ieder geval.

[Reactie gewijzigd door deadlock2k op 6 november 2017 21:29]

Nee bsn mag niet is alleen voor de overheid.
Hoop dat ze die wet nog een beetje bijschaven. Als oma op de hoek nu door haar handige neefje een forumpje met 10 leden heeft om hun breiwerk te tonen en tips uit te wisselen of bolletjes wol van elkaar te lenen, dan is oma al een dataprocessor en moet aan allerlei eisen voldoen. Zelfs als er geen registratie nodig is maar de software tracked IP’s om spammers te kunnen verbannen. Dat eh... Gaat een beetje ver.

Het idee is prima en erg goed, het eindresultaat lijkt iets minder te zijn.

[Reactie gewijzigd door WhatsappHack op 6 november 2017 20:33]

Mwah, 'data processor' klinkt heel moeilijk voor een omaatje misschien (als ze geen Engels kan verstaan of lezen), maar in de kern is dit gewoon nettiquette: Je verantwoordelijk gedragen op het internet; zo'n handig neefje moet ook beter weten dan in de meterkast een servertje aan het internet te hangen en dan weg te lopen met 'mazzel oma, succes dr mee!)
Nou nee, dat is de kern dus niet - die is een stuk breder...
Die wet gaat niet enkel om de gegevens veilig opslaan he? Je moet aan meerdere voorwaarden voldoen, je moet allerlei zaken bijhouden (eg: je lost een spellingfout op in de standaard registratie voorwaarden? Loggen, exact bijhouden wie wanneer akkoord is gegaan met die gewijzigde voorwaarden, etc. Je moet dit kunnen uitdraaien en overhandigen en ga zo maar door.) en in sommige gevallen is het praktisch onmogelijk om adequaat te kunnen voldoen. Je zou zelfs data kunnen lekken door te voldoen aan die wet als je juist NIET extra informatie bijhoudt, puur vanwege het feit dat email en IP-adressen al gezien worden als privťdata en dus moet je inzage kunnen geven dat je die gegevens hebt; maar als het bijv. een shared pool is wat moet je dan als bewijs accepteren dat dit werkelijk iemands IP is geweest? En ga zo maar door en door.

Dit gaat absoluut niet enkel om de noodzaak en/of verplichting om het veilig op te slaan, het gaat heel erg veel verder. En dat is allemaal prima, zeker voor grote toko’s als Facebook en Google, maar praktisch gezien is het te vaag en universeel verwoord waardoor je dus als oma’tje al het risico loopt op gezeik. Nu zal oma in dit voorbeeld 0% omzet hebben - dus de vraag is wat de boete dan zou zijn als de inspecteur een pesthumeur heeft en serieus een boete wil opleggen, maar toch.

En dat soort dingen moeten we eens leren gladstrijken vůůr een wet in werking treed. We hebben t zelfde gezien met dat belachelijke VAT/MOSS gelazer. Ook zo’n analoge mensen wet voor een digitale wereld. Tig problemen mee, die afgevangen hadden kunnen worden door in gesprek te gaan met de mensen die je ermee raakt, en zelfs de belastingdienst inspecteurs konden het niet uitleggen. De meest belachelijke voorwaarden en oneerlijke situaties. Maar, toch invoeren; en vooral kleine ondernemers moeten flink kosten maken om het adhv de wet te implementeren en t kost veel extra tijd. Nu per 2018/2019 gaan ze eindelijk de boel oplossen, en wat gebeurt er? Al die kleine ondernemers hebben voor janlul geÔnvesteerd om netjes het beste jongetje uit de klas te zijn, want er komt een threshold en dan MAG je niet eens meer mee doen maar moet je naar de situatie terug van vůůr 1 Januari 2015. :+

Datzelfde gaat gebeuren met deze wet... En dat is tenenkrommend slecht en wťťr hetzelfde gelazer wat vooral kleine partijen onnodig gaat raken; en in dit geval zelfs ook compleet onschuldige particulieren waar je die extreem strenge regels niet in z’n geheel op zou moeten laten gelden; op een meldplicht bij een lek na misschien.
Ten eerste is je argument natuurlijk weinig elegant "Nee dat is niet de kern; want de kern is breder" |:( :+ Wat je bedoelt te zeggen is "Ja maar .. .. .."

Ten tweede: Je -ja maar- argument komt dan met een vrij typische observatie die wel meer voor komt: De wet is stom want lastige dingen zijn stom, en het is lastig om je aan wetten te moeten houden dus daarom.

Als we nu eens wat verder kijken dan lastige dingen die zo "tenenkrommend" stom zijn.. en ons er bij neerleggen dat je, zelfs als -gewone- (whatever dat is) burger soms nu eenmaal met wetten en waarden te maken krijgt. (Die eikel van een buurman mag je niet vermoorden, doe aan een ander niet wat je niet wilt dat u geschied, ga met de data van anderen dus ůůk verantwoordelijk om, jada-jada-jada.)

Dat betekent het maatschappelijke plaatje bekijken in abstractie (dus echt breder, en niet enkel wijder - zoals met voorbeelden in concreet detail ;) ). Wat je dan aan vragen ziet rijzen is ongeveer als volgt:

Het is even lastig.. OK, ..
Is lastig niet relatief? Hoe lastig is lastig? Blijft het lastig? Is er een maatschappelijk doel mee gediend? Wordt het makkelijker? Wordt het voor iedereen makkelijker? Als het niet voor iedereen makkelijker wordt, is dat dan erg? Of simpelweg een vorm van nieuwe specialisatie en dus werkverschaffing? Wat gebeurt er qua schaalvoordelen? Zal een privacy-boekhouder duur worden? Hoe complex wordt die boekhouding? En in verhouding tot een financiŽle boekhouding? Hoeveel tientjes (of meer, of minder) gaat zo'n jaarrapportje kosten? Kunnen de aanbieders van geautomatiseerd aangeboden webshop-storefronts de privacy-boekhouding van de shops-in-hun-shop voor rekening nemen (Bol, Amazon, ..) ? En dan de kosten evenredig verdeeld doorrekenen (of aftrekken van direct gelinkte inkomsten uit de veroorzaker van die kosten: De advertentieboer die de privacy-gradatie effectueert door de te rapporteren 'transacties' (gelegaliseerde commerciŽle verhandeling van privacy per-opbod )) Blijft er dan Łberhaupt nog wel een winstgevend business model over voor dat soort platform-achtige trucjes? Wordt de wereld er echt slechter op als de Bol.coms en de Amazons van deze wereld massaal omvallen? (Of rechtswege ontoegankelijk worden.) En volgens wie dan? En als dat soort winkels-van-winkels niet meer winstgevend blijken, moeten overheden dat dan juist niet gaan aanbieden? Tegen billijke vergoeding net als sta(nd)gelden op de boerenmarkten? Etc. Etc. Etc.

Ik denk dat het nog veel lastiger wordt. En ik denk ook dat maar weinig mensen die last als zwaar zullen ervaren. En ik denk dat we het er allemaal over eens zouden moeten zijn dat dit veel minder lastig was geweest wanneer al veel eerder fors werd gehandhaafd op wetten die nu in een oh-wat-lastig-nou-toch transitie-jasje als zijnde -iets nieuws- gepresenteerd worden. Alsof mensen al niet langer rechten hadden :? Ik bedoel.. was er niet al een naam voor dat mensen-met-rechten gebeuren? :+ :Y)

[Reactie gewijzigd door BStorm op 6 november 2017 22:45]

Ten eerste is je argument natuurlijk weinig elegant "Nee dat is niet de kern; want de kern is breder" |:( :+ Wat je bedoelt te zeggen is "Ja maar .. .. .."
Leg nou a.u.b. maar geen woorden in m'n mond, dat praat wat prettiger ;)
Wat ik bedoelde te zeggen is "Nee dat is niet de kern; want de kern is breder". En volgens mij heb ik dat ook gezegd. ;)

Je poneert namelijk een stelling die extreem kort door de bocht is en suggereert daarmee dat het enige waar oma in het voorbeeld van mij mee te maken heeft dat haar neefje moet oppassen dat hij niet zomaar iets aan het internet hangt. Je doet het dus af als een relatief heel simpele zaak waar maar ťťn aspect komt kijken (security) en dat is het enige wat je benoemt, maar dat is volstrekt het geval niet. Sterker nog, je "mag" zelfs gehackt worden - that's the least of your problems.
Ten tweede: Je -ja maar- argument komt dan met een vrij typische observatie die wel meer voor komt: De wet is stom want lastige dingen zijn stom, en het is lastig om je aan wetten te moeten houden dus daarom.
Nee, mijn observatie is dat de wet gebreken heeft. ;) En die moet je oplossen.
Lastige dingen zijn niet stom als ze goed ingevuld zijn en een goed doel hebben. Dan is het even klote en voor sommige instanties vrij permanent klote, maar soit: het moet nou eenmaal.
In dit geval is het doel ook zeer goed, maar de invulling laat te wensen over en levert een tal van problematische situaties op waarvan sommige in het huidige kader van die wet niet geheel zijn af te vangen waardoor je dus standaard situaties hebt waar voldoen aan de wet of een groot vraagteken is (niet zeker weten of het nou wel of niet de bedoeling is) of zelfs technisch gezien vrijwel onmogelijk is tenzij je onrealistische zaken gaat realiseren. (En dat is ook niet de bedoeling, want er is ook nog zoiets als redelijkheid en billijkheid. Een wet moet A.) Redelijk helder zijn, B.) Uitvoerbaar zijn) En dat is wat een probleem lijkt te vormen, het lijkt er op dat er veel over theorie is nagedacht (jarenlang zelfs!) maar dat er heel weinig rekening is gehouden met hoe dit in de praktijk nou eigenlijk gaat werken en nog belangrijker: HOE het zou moeten werken. In de theorie kan alles heel mooi, helder en simpel zijn - maar als vervolgens als mensen/bedrijven gaan kijken naar de implementatie ervan tegen (onoverkoombare) problemen oplopen, of dat het onredelijke maatregelen nodig heeft, in de praktische uitvoering van de wet: dan is er een probleem... :)

Dus nu probeer je eigenlijk opnieuw een redelijk complex probleem weg te wuiven met de facto "Ja, je zit alleen maar te zeiken omdat het een vervelende wet is". Terwijl dat helemaal niet waar is. Als die wet gefixt wordt is er niets aan het handje en is het een geweldige wet. Nog steeds vervelend om aan te voldoen trouwens, maar daar zal je mij niet over horen klagen hoor... Zeker niet vanuit de kant van ondernemer, want soms moet je als ondernemer nou eenmaal aan irritante wetten voldoen. (Of de mazen proberen te vinden. :P) Dat hoort erbij, is doodnormaal; dus daar klaag ik niet over, daar heb je me niet over horen klagen, en dat is dan ook een loze suggestie. :)

Je aan een wet houden is een ding, en ja dat kan soms heel vervelend zijn. Soms is het tť lastig of zelfs onmogelijk, en dan komt men met een oplossing; zoals het hoort. Dat is heel normaal, en dat is prima. Maar daar is kritiek wel heel erg belangrijk voor. En soms is er overduidelijk te weinig met kritiek gedaan, of zelfs helemaal niet naar kritiek gezocht, en zit een wet niet goed in elkaar. Zoals met deze wet. ;) En dat flikken ze dus helaas wel vaker, het is een soort van beta-testen met wetten; maar dan in je productieomgeving. :+ Niet handig, zeker niet omdat steeds de kleinere partijen de dupe zijn.
Dat heeft er dus niets mee te maken dat het "vervelend is om aan zo'n lastige wet te voldoen" - nee, dat betekent dat er een paar problemen zijn met de wet die simpel op te lossen zijn; en eigenlijk ook nog op te lossen zijn voordat de wet in werking treedt als ze een paar aanpassingen maken.

Kritisch ergens naar kijken is een belangrijk goed. Zouden we dat niet doen, dan zouden er nog een heel aantal meer wetten zijn die waarschijnlijk langer of voor altijd grote problemen kent. Dat moeten we niet willen, toch? Maar nee, volgens jou is de kritiek enkel gegeven omdat het "een lastige wet is". Als je wat inhoudelijker had gekeken naar wat ik precies tikte, dan had je al kunnen zien dat dat niet het geval is.
En dan heb ik het dus nog niet eens gehad over het feit dat er dus situaties voorkomen op het internet, veelvuldig zelfs, waarmee NIET aan deze wet te voldoen valt. Je KAN er dan niet of met extreme moeite aan voldoen (== onredelijk, en niet het doel van de wet; dus ook onwenselijk gezien uit het oogpunt van die wet) en dan *hopen* dat het goed en voldoende is. Ja, dat gaat dus niet werken - en DAT moet dus opgelost worden.

Het is dus zeker geen gezeur om niets, en ik vind het jammer dat je het zo ervaart en, naar mijn mening, redelijk kort door de bocht benadert terwijl ik volgens mij best helder uitleg waar volgens mij een aantal probleempunten zitten. En ik niet alleen trouwens hoor. Ik heb de afgelopen dagen met veel andere mensen, zowel particulier als bedrijf, adviseurs en het hele rataplan gesproken; en ik ben niet de enige die een aantal problemen ziet met de wet waardoor nu de hoop weer gevestigd wordt op de wetgever om de problemen op te lossen. En dan het liefst VOOR dat de wet ingaat, dus niet wederom pas 2 a 3 jaar later zoals het VAT/MOSS gelazer.

Ik heb het al eens zien gebeuren dus, en daarom zou ik nu graag willen dat we die fout niet nog een keer maken en gewoon de problemen in de wet repareren zodat deze wet prima in werking gesteld kan worden. En dat is niet enkel in het voordeel van data processors overigens, maar ook in het voordeel van de burger; want het is niet enkel gezeik voor de mensen die eraan moeten voldoen hoor... Oh nee. Er zitten ook wat mazen in de wet waardoor het een en ander nog mogelijk is wat ze eigenlijk met die wet hadden willen tegengaan. En ook daar worden suggesties over gegeven om het op te lossen.

Van kritiek wordt zo'n wet dus alleen maar beter, dan is het jammer als het afgedaan wordt als loos gezeik vanwege het werk dat je moet steken in het voldoen aan de wet. Maar dat is echt het probleem niet als die wet goed in elkaar steekt, dat is enkel nu een probleem. Het voldoen aan de wet als die fixed zou worden is namelijk alles behalve moeilijk. En nu in veel gevallen is het ook helemaal niet zo moeilijk. Het probleem is dus uitsluitend dat er een verre van verwaarloosbaar aantal situaties is die wijdverspreid zijn op het internet (dus waar veel mensen de dupe van zijn, terwijl ze dat wellicht niet eens weten) waar dit wel technisch gezien (vrijwel) onmogelijk is. En DAT moeten we dus oplossen, zodat de wet voor iedereen beter wordt.

En dat is toch niet zo'n raar streven? :)

[Reactie gewijzigd door WhatsappHack op 6 november 2017 23:10]

Wettelijk is dat dan natuurlijk zo maar in praktijk gaan ze daar niet snel achteraan en worden die dingen gewoon gedoogt. Als ik een minecraft server met forum host als 14 jarige krijg ik ook never het OM op mn dak of ik moet wel echt honderden bezoekers hebben.
Dat gaat hopelijk kloppen, maar dat is eigenlijk het grote probleem. Een wet hoort duidelijkheid te bieden en uit te leggen wanneer je nou wel waaraan precies moet voldoen. In dit geval is het keihard "iedereen moet voldoen, al process je maar ťťn IP-adres anders dan dat van jezelf". Dat is in veel gevallen eigenlijk onhoudbaar. Als ze er in de praktijk niets mee doen is dat fijn, maar dan zit je dus blijkbaar in een coulance en ben je afhankelijk van die coulance.

Nou, voor particulieren en hele kleine ondernemingen is dat natuurlijk rampzalig - want "we moeten het risico maar nemen" is natuurlijk niet fijn; en zou eigenlijk ook niet de bedoeling moeten zijn van zo'n wet. Je moet het niet teveel afzwakken, maar een aantal uitzonderingssituaties of waar er minder streng opgetreden wordt o.i.d. zou toch wel een welkome toevoeging zijn zodat iedereen weet waar ze aan toe zijn en dat het ook daadwerkelijk te doen is voor iedereen om eraan te voldoen. Maar nu kunnen zelfs grotere jongens in sommige gevallen eigenlijk niet 100% aan die wet voldoen - en dan is het wat mij betreft gewoon een slecht ingerichte wet. Fix dat dan, al stellen ze als doel om het voor Februari 2018 op te lossen zodat het alsnog in Mei 2018 van kracht kan gaan: dat zou al heel wat meer zijn dan de vage situatie die je nu krijgt en advocaten overal overuren draaien.
Ja, ik ben het ermee eens dat het duidelijker kan. Ik vraag me alleen dan vaak af hoe gaan we dat in godsnaam doen zonder met elke uitzondering meteen weer tegen uitzonderingen te moeten gaan maken om loopholes te voorkomen, dan blijf je bezig.
Lijkt me samen met psd2 een vrijkaartje voor de internet cowboys
https://psd2.nl/payment-service-directive-2/voorbeelden/

Quote
Een aantal (grote) Fintech bedrijven zien immense commerciŽle mogelijkheden indien ze de hand kunnen leggen op de betaalgegevens en het betaalgedrag van bedrijven, winkeliers en particulieren. Met behulp van deze gegevens kunnen ze klanten beter voorzien van bijvoorbeeld op maat gemaakte aanbiedingen en advertenties. De klant moet wel van tevoren toestemming geven voor het gebruik van de betaalgegevens voor commerciŽle doeleinden, maar ervaring leert ons dat de consument de algemene voorwaarden van Fintech ’s als Google en Apple vaak blindelings accepteert.
Nou, als je tot de gegoede klasse behoort kun je veel nog wel ontwijken.

Kwestie van niets meer op de pof kopen, je geld via (nůg ;( ) duurdere banken /fintechs laten lopen. En als je het geld hebt 24/7 advocaten al je privacy/data laten opvragen bij -alle- relevante spelers en die dan direct sommeren feit x of y te verwijderen. Rinse-repeat, ad infinitum (& nauseam :O )

En natuurlijk al je typen transacties per gescheiden dochter-'entiteit' laten verlopen. Zoals je nu je spam per website in een mailbox aangeleverd kunt krijgen. Zo ga je aankopen ook gescheiden gaan moeten laten betalen. Geen ontkomen aan - firewall your money! :Y)

[Reactie gewijzigd door BStorm op 6 november 2017 23:08]

Volgens de Autoriteit Persoonsgegevens zorgt het stoppen van het handhaven op de meldingsplicht voor een aanzienlijke verlichting van de administratieve lasten voor organisaties.
Ik vraag me af hoe dat werkt. Hoe kan het melden nu een relatief groot deel van de last zijn voor een bedrijf dat toch al consciŽntieus met persoonsgegevens omgaat? Dat melden is dan een laatste stap in een proces waarin toch al heel veel gebeurt is.
Ze noemen bij die Authoriteit de eigen afdelingen natuurlijk ook organisaties :+ :Y)
Daarnaast krijgen privacytoezichthouders meer bevoegdheden en kunnen zij een boete aan organisaties opleggen die oploopt tot vier procent van de jaaromzet,
wow 4% van de jaaromzet. Probleem is vaak dat het jaren duurt voordat men tot zo een boete komt. Gaat het over 4 jaar dan kijkt men nog steeds naar de omzet over 1 jaar en is het uiteindelijk maximaal 1% per jaar als het om 4 jaar inbreuk gaat.
Die 4 jaar kan ook best 8 jaar worden, voordat men in actie komt.
Allemaal mooie nieuwe regels. Maar zonder meldplicht? Hoe dan?
Scheelt weer een paar miljoen per jaar :)
"Tot slot moeten bedrijven een 'Data Protection Officer' aanstellen" Hmmm....ook als eenmanszaak?
Bij de eenmanszaak is het een makkie. Bij een bedrijf van 6 man wordt het lastig om de functies van CEO, CFO, COO, CTO, CIO, compliance officer, data protection officer en koffiejuffrouw evenwichtig te verdelen.
Waarom bestaat deze instantie nog als ze gewoon gedeeltelijk ophouden met hun kerntaak uit te voeren?
Als ze geen meldingen meer hoeven te verwerken hebben ze meer tijd vrij voor hun kerntaken. De regelgeving over hoe je met persoonsgegevens om moet gaan verandert verder niet.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*