Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eindhoven moet stadspassen met bsn's vervangen wegens schending AVG

De gemeente Eindhoven moet 268.000 stadspassen vervangen omdat die in strijd zijn met de privacywet. Tussen 2020 en 2023 krijgen alle inwoners van de stad een nieuwe pas waar geen persoonlijke gegevens zoals het burgerservicenummer meer op staan.

Het gaat in totaal 826.000 euro kosten om alle passen te vervangen, bevestigt de gemeente. Het gaat om nieuwe passen voor alle 231.000 inwoners van de stad, en 37.000 passen voor inwoners uit aanliggende gemeenten. Burgers krijgen die pas gratis als zij in de stad komen wonen, en kunnen die gebruiken om afvalcontainers te openen, te parkeren, of korting te krijgen bij het sporten.

Op de pas staat persoonlijke informatie zoals de volledige naam en geboortedatum van een bezitter. Ook staat het burgerservicenummer op de pas. Bij sommige passen staat dat op de kaart afgedrukt, bij andere is het bsn alleen digitaal uit te lezen via de chip in de pas. "Een deel van die persoonsgegevens hebben voor de huidige toepassingen geen functie", schrijft de gemeente in een reactie. "Dit is in strijd met het principe van dataminimalisatie van de AVG."

De gemeente gaat de passen vanaf 2020 vervangen. In het eerste jaar worden alleen de passen vervangen met een fysiek bsn, het tweede jaar de andere passen. Ook worden de overbodige gegevens dan uit het registratiesysteem van de gemeente verwijderd. Vanaf 2023 worden volgens de gemeente ook de passen van jongeren onder de 16 jaar vervangen. Wat voor passen die hebben, wat voor gegevens daarop staan, en waarom zij pas over 3,5 jaar een nieuwe pas krijgen kon de gemeente donderdag niet zeggen.

In totaal kost het 826.000 euro om de passen te vervangen. Het gaat daarbij volgens een woordvoerder om 'een investeringsbedrag' van 611.000 euro, verdeeld over drie jaar, en 191.000 euro aan 'incidentele projectkosten', staat te lezen in de Kadernota van de gemeente. Daarin wordt gesproken over totale kosten van 802.000 euro, maar volgens een woordvoerder ligt het daadwerkelijke bedrag hoger op 826.000 euro, al kon hij niet direct zeggen hoe dat zit. De gemeenteraad moet nog wel akkoord gaan met die kosten.

Of de pas na de aanpassingen aan de AVG voldoet, durft een woordvoerder van de Autoriteit Persoonsgegevens niet te zeggen. "Het hangt heel erg van hoe de gemeente dit aanpakt of dit nu een heel acute overtreding is. Dat is afhankelijk van details zoals waar die passen nu nog worden gebruikt, worden ze nog uitgelezen?" Het is daarom ook niet te zeggen of de uitfaseringstermijn van twee jaar niet te lang is. "Burgers kunnen bij ons altijd een klacht neerleggen als ze vinden dat dat te lang duurt", aldus de woordvoerder.

Vorig jaar trad de toezichthouder al op tegen de gemeente Arnhem vanwege de afvalpas die daar in gebruik was. De gemeente verwerkte gegevens over wanneer burgers afval weggooiden en kreeg daarvoor een last onder dwangsom opgelegd. Er moesten daarvoor ook verschillende dingen worden aangepast aan het afvalsysteem, zoals het verbeteren van de software. De woordvoerder van de AP durft niet te zeggen of de Eindhovense pas op dezelfde manier mogelijk in strijd is met de AVG. Afvalpassen zijn aan voorwaarden verbonden, zoals dat gemeenten burgers er vooraf over moeten informeren en dat gemeenten de gegevens voldoende moeten beveiligen.

Door Tijs Hofmans

Redacteur privacy & security

27-06-2019 • 16:34

93 Linkedin Google+

Submitter: Knopsje

Reacties (93)

Wijzig sortering
Even ter transparantie: ik heb aan de gemeente gevraagd waarom de uitfasering zo lang duurt en waarom de passen voor jongeren als laatste gaan, en ik wilde graag weten waar de discrepantie zit tussen wat de voorlichting zegt vs wat er in het rapport staat. Die heb ik vanochtend gesteld, maar kreeg net te horen dat er morgen om 15.00 pas meer antwoorden komen.
Ik eigenlijk wel.
Kom met een enkele kaart, met een chip, waarop je verschillende applicaties kan zetten (kan nu al volgens mij?)
Dan kan je dezelfde kaart gebruiken voor ID, rijbewijs, paspoort, toegang op je werk, pinnen, etc.
Ik zie dat wel zitten, mits ik zelf de applicaties op de kaart kan beheren en ze netjes van elkaar gescheiden blijven.
En mag een gemeente wel een database aanleggen met alle identifiers van de ID-kaarten, rijbewijzen en paspoorten van alle inwoners van de gemeente? En deze database ook delen met alle sportinstellingen, de milieustraten,..?

Aangezien er ook mensen in de gemeente wonen die hun ID in een andere gemeente hebben ontvangen, moeten deze dus ook geregistreerd worden. Hier komt nogal wat bij kijken. Ik denk dat het praktischer is en vooral ook goedkoper om eenmalig een pas op te sturen naar nieuwe inwoners.
[...]
Klinkt als feature creep dat met een ander middel gedaan zou moeten worden. In ieder geval niet met een afvalpas.
[…]
Beetje een vreemde redenatie dat een stadspas, wat in het in dit geval is, voor jou kennelijk per definitie een afvalpas is waar verder niets mee gedaan mag worden.

De gemeente zag het destijds in ieder geval dus niet zo, maar wilde het als een middel om alle individuele inwoners van Eindhoven gebruik te kunnen laten maken van de stedelijke faciliteiten. Dus van korting bij het zwembad tot het wegbrengen van het afval (waarbij dat laatste waarschijnlijk is gekoppeld aan het adres waar de betreffende inwoner woont zodat dit per woning gequoteerd kan worden).

Ik vind dat iig niet zo gek gedacht eigenlijk, en het bespaart weer allemaal losse pasjes voor elk van die doeleinden afzondelijk.
Volgens mij was mijn Eindhovense stadspas al een jaar of 7 geleden verlopen (net als de pas van mijn vrouw), maar ik heb nog geen nieuwe ontvangen / bericht ontvangen. Ik gebruik de pas voor de milieustraat en om mee te parkeren in WoesXL.
Die van mij ziet er zo uit: https://www.stadsparkeren...-te-activeren.html?id=131
Aan de andere kant is mijn foto opgeplakt d.m.v. plakband in afwachting van een nieuwe pas :D

Het wordt dus hoog tijd voor een nieuwe pas.
Nuance: Niet elke inwoner heeft een nieuwe pas en velen stonden (net als wij) al op het punt om een nieuwe pas te krijgen.


Mooie informatie over de stadspas |:( 8)7 :
Heb je eerder in Eindhoven gewoond, dan kun je je oude stadspas gebruiken. Heb je deze niet meer, dan vraag je een nieuwe pas aan.

Klopt de geldigheidsdatum die op mijn stadspas staat?
Nee, alle stadspassen blijven geldig. Tot 2013 stond er een geldigheidsdatum op, maar ook deze pas kun je gewoon blijven gebruiken. Heb je je stadspas weggegooid? Vraag dan een nieuwe aan.


Je moet de stadspas je leven lang bewaren, zodat je geen nieuwe pas hoeft te krijgen / kopen als je weer terugkomt.

[Reactie gewijzigd door Kiswum op 27 juni 2019 16:55]

Wel raar dat de overheid er zo lang over mag doen om deze passen te vervangen.
Mag een commercieel bedrijf er ook 2-3 jaar over doen? Nee die krijgen een boete.
Kun je dat onderbouwen?
Volgens mij krijgen de meeste bedrijven ook eerst een waarschuwing en zijn ze behoorlijk coulant als je een beetje meewerkt. De paar gevallen die ik kan vinden hebben allemaal jaren de tijd gehad om hun zaakjes te regelen. Daarnaast zijn er ook boetes uitgedeeld aan de overheid zoals de boete voor het UWV en de boete voor de politie.
Ken jij zaken waarbij er boetes zijn uitgedeeld zonder dat het bedrijf jarenlang de tijd heeft gehad om het probleem op te lossen? (Dan heb ik het wel over vergelijkbare problemen, de boete van Uber ging over een heel ander stuk van de AVG, die hadden een database laten lekken en het niet gemeld, en zelfs dat heeft jaren geduurd).

[Reactie gewijzigd door CAPSLOCK2000 op 27 juni 2019 18:01]

Ik heb gevraagd hoe dit zit, de AP kan er niet te diep op ingaan omdat het zo specifiek is en ze kúnnen uit zichzelf onderzoek beginnen, maar doen ze lang niet altijd. Als ze getipt worden mogelijk wel. Als de AP het te lang vindt duren kunnen ze eisen dat die uitfasering versneld moet worden. Gemeente zelf gaf er geen antwoord op.
Enige nuance is hier op zijn plaats. De AVG gaat wel degelijk ook over 1 pas, als die een schending van de verordening inhoud. Wel klopt het dat bij geautomatiseerde processen afwijkende regels zijn t.o.v. systemen waarbij nog 1 of meerdere menselijke interacties/controles plaatsvinden.

De AVG schrijft daarbij voor dat je zo snel als mogelijk en in redelijkheid ten aanzien van de te maken kosten e.d. tot conformiteit moet komen. Het is in eerste instantie aan de AP om te bepalen of de gemeente hier aan voldoet met het voorgestelde plan. Hierbij moet o.a. gekeken worden naar de risico's die aanwezig zijn bij voortdurende non-conformteit.

Natuurlijk is het de bedoeling dat de gemeente handeld in het beste belang van haar inwoners, maar het kan wel degelijk zo zijn dat de AVG een versnelling afdwingt in deze situatie. Zonder alle details is daar echter niet iets zinnigs over te zeggen.

Wat overigens bijzonder is, als ik mij tenminste niet vergis, is dat dit onder de Wet Bescherming Persoonsgegevens (voorlganger van de AVG) ook al niet was toegestaan (BSN was daarin een bijzonder persoonsgegeven). Waarom overheden dus voor dit soort oplossingen kozen (denk ook aan BSN in BTW nummer ZZP-er) vind ik merkwaardig.
Dat van dat BTW-nummer is tamelijk logisch. De belastingdienst heeft ooit op zijn mooie blauwe enveloppen gezworen dat het alleen fiscale doelen zou dienen. Daar valt een KvK-inschrijving als zelfstandig ondernemer ook onder.

Alleen jammer dat de wetgeving ooit een keer aangepast is om van het SoFi-nummer een BSN te maken, want toen ging dat niet meer op.
Het BSN is bedoeld als unieke sleutel voor je databasetabel als je specifieke onderdelen van de overheid bent of daar toe gemachtigd bent door de overheid. Anders moet je er gewoon van afblijven en is het een identifier die je niet zou moeten willen gebruiken, juist omdat je er mee bij gevoelige gegevens kan komen.

Ik ben dan ook wel blij dat het niet meer op zo'n pas komt. Als je je pas dan een keer kwijt raakt (en dat gebeurd, zeker met een afvalpas) hoef je je niet meteen zorgen te maken over of je BSN in het wild rond slingert.
Als je je BSN geheim moet houden dan is dat natuurlijk gewoon een ontwerpfout.

In principe zou je BSN net zo openbaar moeten zijn als een telefoonnummer. Als ik dat aan iemand wil geven is dat prima maar dat wil verder niet zeggen dat ze er ook kwaad mee kunnen.

Een BSN zou uitsluitend gebruikt moeten worden voor identificatie, niet voor authenticatie. Net als je telefoonnummer.

Ik heb veel liever dat ze die systemen die stom genoeg een BSN gebruiken om ergens toegang toe te verschaffen aanpakken in plaats van publiek gebruik van de BSN beperken. Als je die foute systemen aanpakt kun je daarna zonder moeite overal je BSN laten zien.

[Reactie gewijzigd door Maurits van Baerle op 27 juni 2019 17:10]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True