Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eindhoven moet stadspassen met bsn's vervangen wegens schending AVG

De gemeente Eindhoven moet 268.000 stadspassen vervangen omdat die in strijd zijn met de privacywet. Tussen 2020 en 2023 krijgen alle inwoners van de stad een nieuwe pas waar geen persoonlijke gegevens zoals het burgerservicenummer meer op staan.

Het gaat in totaal 826.000 euro kosten om alle passen te vervangen, bevestigt de gemeente. Het gaat om nieuwe passen voor alle 231.000 inwoners van de stad, en 37.000 passen voor inwoners uit aanliggende gemeenten. Burgers krijgen die pas gratis als zij in de stad komen wonen, en kunnen die gebruiken om afvalcontainers te openen, te parkeren, of korting te krijgen bij het sporten.

Op de pas staat persoonlijke informatie zoals de volledige naam en geboortedatum van een bezitter. Ook staat het burgerservicenummer op de pas. Bij sommige passen staat dat op de kaart afgedrukt, bij andere is het bsn alleen digitaal uit te lezen via de chip in de pas. "Een deel van die persoonsgegevens hebben voor de huidige toepassingen geen functie", schrijft de gemeente in een reactie. "Dit is in strijd met het principe van dataminimalisatie van de AVG."

De gemeente gaat de passen vanaf 2020 vervangen. In het eerste jaar worden alleen de passen vervangen met een fysiek bsn, het tweede jaar de andere passen. Ook worden de overbodige gegevens dan uit het registratiesysteem van de gemeente verwijderd. Vanaf 2023 worden volgens de gemeente ook de passen van jongeren onder de 16 jaar vervangen. Wat voor passen die hebben, wat voor gegevens daarop staan, en waarom zij pas over 3,5 jaar een nieuwe pas krijgen kon de gemeente donderdag niet zeggen.

In totaal kost het 826.000 euro om de passen te vervangen. Het gaat daarbij volgens een woordvoerder om 'een investeringsbedrag' van 611.000 euro, verdeeld over drie jaar, en 191.000 euro aan 'incidentele projectkosten', staat te lezen in de Kadernota van de gemeente. Daarin wordt gesproken over totale kosten van 802.000 euro, maar volgens een woordvoerder ligt het daadwerkelijke bedrag hoger op 826.000 euro, al kon hij niet direct zeggen hoe dat zit. De gemeenteraad moet nog wel akkoord gaan met die kosten.

Of de pas na de aanpassingen aan de AVG voldoet, durft een woordvoerder van de Autoriteit Persoonsgegevens niet te zeggen. "Het hangt heel erg van hoe de gemeente dit aanpakt of dit nu een heel acute overtreding is. Dat is afhankelijk van details zoals waar die passen nu nog worden gebruikt, worden ze nog uitgelezen?" Het is daarom ook niet te zeggen of de uitfaseringstermijn van twee jaar niet te lang is. "Burgers kunnen bij ons altijd een klacht neerleggen als ze vinden dat dat te lang duurt", aldus de woordvoerder.

Vorig jaar trad de toezichthouder al op tegen de gemeente Arnhem vanwege de afvalpas die daar in gebruik was. De gemeente verwerkte gegevens over wanneer burgers afval weggooiden en kreeg daarvoor een last onder dwangsom opgelegd. Er moesten daarvoor ook verschillende dingen worden aangepast aan het afvalsysteem, zoals het verbeteren van de software. De woordvoerder van de AP durft niet te zeggen of de Eindhovense pas op dezelfde manier mogelijk in strijd is met de AVG. Afvalpassen zijn aan voorwaarden verbonden, zoals dat gemeenten burgers er vooraf over moeten informeren en dat gemeenten de gegevens voldoende moeten beveiligen.

Door Tijs Hofmans

Redacteur privacy & security

27-06-2019 • 16:34

93 Linkedin Google+

Submitter: Knopsje

Reacties (93)

Wijzig sortering
Hangt van de kaartlezer bij de parkeerautomaat af, in principe kan je elke willekeurige pas gebruiken die een unieke identifier uitzend. Kwestie van database lookup of die identifier mag parkeren, vuil storten, zwemmen, etc.
Je moet kunnen authenticeren. Zeg maar "het mac-adres" van de kaart is niet genoeg terwijl dat is wat iedereen kan uitlezen.
De kaartlezer moet het certificaat/key van de kaart kunnen controleren, en daarvoor moet ie kennis hebben van die specifieke certificaten.
De stadspas in Eindhoven is al oud (jaar of 15?) en heb je nodig voor de milieustraat om als burger gratis te mogen storten In Eindhoven zijn er 2 millieustraten met 2 of 3 slagbomen waar je je pas aanbiedt. De milieustraat is verreweg de grootste reden tot gebruik stadspas in Eindhoven, met op afstand dat je bij Winkelcentrum Woensel er een parkeersessie kunt starten, en dat je bij het Otterbad zwembad korting kunt krijgen. Parkeren bij Winkelcentrum woensel kan ook met een parkeer-APP of kaartje kopen. Millieustraat en parkeerterein zijn van de gemeente, en Otterbad mogelijk ook.

Tenzij je wekelijks bij de miliestraat komt is het niet waard om hem te bewaren in je portemonee en ligt hij bij mij in de keukenla. Mijjn stadspas is al in 2011 verlopen en de gemeente Eindhoven heeft geen nieuwe gestuurd en hij werkt nog steeds. Ik wil geen ID kaart, want heb al rijbewijs en paspoort en dat is genoeg.
Het rijbewijs heeft sinds 2014 ook een RFID chip.
De grootste reden is voor het weg brengen van afval, dat is op de milieustraat na het enige waar die hier voor gebruikt wordt. Overigens werkt de afvalbak ook met sommige andere passen, de beveiliging is niet echt geweldig.
De stadspas in Eindhoven wordt ook gebruikt voor toegang tot de milieustraten
Dat kunnen afvalpassen op naam van huizen ook in andere gemeenten. Elk huis heeft X afvalbudget en moet daarna bijbetalen. Een verhuizing geeft een nieuw budget.
en korting bij bijvoorbeeld toegang tot stedelijke sportfaciliteiten.
Klinkt als feature creep dat met een ander middel gedaan zou moeten worden. In ieder geval niet met een afvalpas.
Daarnaast zou ook slechts één pas daarbij ook niet volstaan aangezien alle bewoners (en dus inwoners van de stad) tegelijkertijd bij verschillende faciliteiten gebruik ervan moeten kunnen maken.
Er staat gemeentes niets in de weg om in bepaalde gevallen meerdere passen per adres uit te geven. Dat wordt ook hier en daar gedaan, bijvoorbeeld in het geval van het verhuren van kamers.

[Reactie gewijzigd door The Zep Man op 27 juni 2019 21:00]

Gebruik van de milieustraat in Eindhoven kost niets voor persoonlijk (niet-commercieel) gebruik. Dus het wordt niet verrekend per woning/inwoner. Wel moet je natuurlijk ingeschreven staan in Eindhoven om gratis van de milieustraat gebruik te kunnen maken.
Omdat je in omliggende dorpen moet betalen voor de milieustraat, is een stadspas uit eindhoven populair om even te lenen want dan kost het niets. Dat je er een foto op zit is waar, maar na 15 jaar stadspas is mijn foto verouderd, vervaagd, bekrast en zit er vuil achter het foto venster. Maar dat boeit de gemiddelde millieustraat medewerker toch helemaal niets. Die vragen naar wat je komt storen en kijken nieuwsgierig in je auto om je snel binnen te laten.
waarom de passen voor jongeren als laatste gaan
Ik vermoed omdat die gemiddeld het snelste verhuizen (Denk ook aan afstudeerders en schoolverlaters ivm de uni / hogeschool), en iedereen die verhuist (naar buiten Eindhoven) hoef je geen nieuwe pas te geven.
Wellicht, maar je hebt het nog steeds over jongeren ( jonger dan 16 zelfs). Persoonlijk zou ik die meer prio geven, ook omdat ik vermoed dat dat er maar weinig zijn. Maar goed, dat is speculatie
Ah, ik zie dat ik een alinea niet of verkeerd gezien heb; ik had met "jongeren" een wat oudere group in gedachten :+
Ik ben die van mij kwijt wegens een paar verhuizingen en nooit gebruikt. Nu moet ik binnenkort naar de stort, uhm milieustraat en heb dus een nieuwe nodig. Op mijn vraag aan de gemeente of mijn nieuwe pas die ik ga aanvragen al AGV-proof is heb ik nog geen antwoord gekregen.
Mijn pas is van 2015 en die is al AVG proof.
Je BSN-nummer staat vermoedelijk niet op de buitenkant, maar wel als je de chip uitleest.
Dat zou kunnen zijn. Aan de buitenkant staat ie inderdaad niet.
Belangrijk punt is dat dit ook voor de AVG al vele jaren verboden was.
Maar ja, toen stonder er nog niet zulke grote boetes op, dus negeerde men het gewoon.
Heel terecht dat laatste punt. In een heel groot deel van de gevallen waarin men zegt ‘ja dat mag niet meer van de AVG’, mocht dat eigenlijk ook al niet onder de Wbp.
Nou ben ik niet zo goed op de hoogte van dit specifieke stukje wetgeving maar zegt die wet niet zoiets als “gebruik de minimale hoeveelheid informatie die nodig is voor een dienst” en niet “gebruik geen BSN”.

Op zich zou, juist voor een overheidsdienst, een BSN het minimaal noodzakelijke moeten zijn.

Misschien zou het effectiefste zijn als iemand de beheerder van een systeem dat de BSN voor authenticatie gebruikt eens voor de rechter zou slepen. Dan komt er wat schot in de zaak.

[Reactie gewijzigd door Maurits van Baerle op 27 juni 2019 20:05]

een goede hashing is kan je niet terug niet omvormen naar het origineel.
Er zijn ongeveer 91 miljoen BSNs mogelijk (bron: Wikipedia). Dan kun je hashen en salten en trucjes uithalen wat je wilt, het botweg uitrekenen van alle 91 miljoen hashes en op die manier een reverse lookup mogelijk maken is volkomen haalbaar.
ik had er inderdaad niet bij stil gestaan dat je met een beperkt/doenbaar aantal mogelijkheden dit inderdaad kan bruteforcen...

dan zijn er nog manieren.
neem een hash van. "stukjegeheimetekst<BSN>2destukjegehuimetest" en dan word het zo goed als onmogelijk. (zolang je de phrases niet kent)

of je gebruikt wel encryptie maar dan asymmetrische (met een private encryptie key en public decryptie key)
En de publieke encryptie key verwijder je gewoon compleet en de private houd je geheim (ook kwasi onmogelijk tenzij je de private key kent)

Deze 2de optie heeft dan de voorkeur vermits asymmetrische encryptie voor hardware en software algoritmes relatief belastend en dus ook trager is. (en dus ook duurder want een botnet of gestolen credit cards zijn niet gratis)

Verder is het natuurlijk een risico als het hasing/of asymmetrische encryptiesysteem geïntegreerd is in een publiek toegankelijk systeem als dat dan gehackt word.

daarom is het best practice om het hasing/encryptie dat het systeem word losgekoppeld/afgeschermd als bijvoorbeeld een Soap servie die de hasing/encryptie doet met bijvoorbeeld maximaal 1 hash/encryption per 5 seconden toelaat (dan moet je al meer dan 14jaar ondetecteerbaar in het publiek systeem zijn binnengedrongen)
Het maakt wel degelijk iets uit, maar niet voor of het wel of niet een persoonsgegeven is onder de AVG, en of je met die hash te identificeren bent. Als je met hash(BSN) overal getrackt wordt omdat het een constante waarde is die iedereen kan uitlezen, ja dat is vervelend. Maar nog veel vervelender is om overal met het BSN op zich tekoop te lopen..

BSN wordt gebruikt door de overheid, en als je iemands BSN hebt kan je je (veel makkelijker) als die persoon voordoen richting de overheid en van alles en nog wat uithalen (leningen afsluiten, wit-was bedrijf starten in diens naam).

Met hash(BSN) kan je getracked worden, maar met enkel BSN kan je ook slachtoffer worden van identiteitsdiefstal.
1.000.000 down the drain....maar niet getreurd, dat betalen de inwoners wel weer terug. :+

[Reactie gewijzigd door harrytasker op 27 juni 2019 18:55]

uhh, probleempje, doordat het een ID is van de stad (Overheid) en die gekoppeld is aan jouw persoonsgegevens (naam adres), maakt DAT ID eigenlijk het net hetzelfde als de BSN...
Blijf het nog steeds te achterlijk voor woorden vinden waarom het BSN niet gebruikt mag worden in je iegen systeem, het is het perfecte nummer om iemand te identificeren, waarom moet ik dan zelf een eigen nummer gaan bedenken.
Volgens die redenatie is jouw telefoonnummer ook hetzelfde als je BSN. Want je provider heeft een kopie van je ID kaart, en heeft dus jouw telefoonnummer en het BSN in dezelfde dataset staan.
Yep, eigenlijk wel ja..
Dat is mijn document nummer ook of @/€),€/!-!&,63!&/,,73&!.7-8!?3€€,)-!&8,€!1 alleen dat laatste is niet te onthouden... een nummerreeks of mail alias was al goedkoper geweest dan dit systeem want het is geheel waardeloos nu. Legio aan mogelijkheden maar toen dit systeem opgetuigd werd was je BSN een vrij te schieten vogel. Dat is tegenwoordig niet meer. Al gooit de overheid wel vaker geld weg, 112 apps... pasjes.. wegennet.. bepaalde “volksvertegenwoordigers”... grapje daargelaten. Dure operatie die vermoedelijk gewoon doorberekend wordt aan de inwoners van Eindhoven
De oude passen hebben er nog een geldigheidsdatum opstaan (t/m 31/12/2011) en zijn nog goed. Staat ook op de site van de gemeente. Op de losse folie die je over je pasfoto plakt staat een faxnummer en je bsn gedrukt.
Die zullen in gemeentesysteem natuurlijk gekoppeld zijn, maar ik verwacht dat die containers niets meer dan 'ID correct => open' doen,

Was wel 1 van de redenen dat Gouda dit dus (nog) niet doet, daar heb je gewoon zakken die je vooraf moet betalen (dat registreren ze wel, maar niet wanneer je ze gebruikt), of met een generieke badge voor de containers.

Kans is natuurlijk groot dat dit wordt bijgehouden, je ontkomt er niet aan dat in die toekomst je compleet individueel wordt afgerekend op je afval, geen 'algemene bijdrage' en 'eigen bijdrage' meer, maar puur wat je daadwerkelijk aan zakken/containers verbruikt.
je ontkomt er niet aan dat in die toekomst je compleet individueel wordt afgerekend op je afval, geen 'algemene bijdrage' en 'eigen bijdrage' meer, maar puur wat je daadwerkelijk aan zakken/containers verbruikt.
Ook dat zal een discussiepunt zijn. Gaat het per zak of per gewicht ?
Mijn alleenstaande oude buurman die een halfvolle zak per week weggooit, of ik, die net zo vrolijk een volle en zware zak van een kilo of tien /twaalf weggooit met kattenbakvulling.
In Waddinxveen betaal je voor de grijze zak 1,50 per leging in de ondergrondse container / per aanbieding in de milieustraat. Je buurman is dan goedkoper uit door twee halve zakken tegelijk in de container te stoppen. Naast dit variabele deel (per aanbieding) betaal je ook een vast bedrag aan afvalstoffenheffing.
Afval containers in Eindhoven werken ook op andere passen. Vroeger waren ze gekoppeld aan je locatie maar mag niet meer al een tijdje
Ik krijg er in Meerhoven nog genoeg open met de chipkaart van mijn werk.
Dat is inderdaad erg handig, je hebt ze echter wel nodig voor de vuilstort (maar daar kom je meestal minder vaak :p )

Waar ze voor bruikbaar zijn bij parkeren of ‘korting bij sporten’ zou ik echter niet weten, heb daar nooit iets over gezien.
Het is gewoon kijken naar de (mogelijke) gevolgen.
Volgens de AVG klopt het niet, dus moet het aangepast worden. Het risico op misbruik is nagenoeg 0 (evenveel als misbruikt van naam en adres dat iedere ZZP-er van de daken schreeuwt). Dus het is logisch dat ruimte wordt gegeven om het op een degelijke manier op te lossen.

Die omnummering van BSN naar een apart ON-nummer zal voor veel ZZP-ers nog zeer grote problemen opleveren.
En in 2024 komen er weer nieuwe passen omdat er dan weer meer gegevens in moeten en dit aansluit op de nieuwe diensten die dan aangeboden worden...
"Burgers krijgen die pas gratis als zij in de stad komen wonen"

Hahaha, ja en ik ben een ei. Dat betaalt iedereen toch via belasting. Niks gratis. De bedragen staan er bij, deel effe door het aantal inwoners dat er ook bij staat en je weet ongeveer wat die pas je kost als Eindhovenaar.

Goed dat het allemaal wordt aangepakt. Jarenlang is er veel te gemakkelijk omgesprongen met pricvacy. Helaas kost het de inwoner wel erg veel geld, en ik vraag me af of het niet goedkoper kan dan de drie euro per pas die ze nu beramen. Is het niet gewoon het systeem aanpassen met een extra kolommetje, kolommetjes die je niet meer wil wissen en dan nieuwe passen printen? Of het bsn kolommetje gewoon gaan gebruiken met andere nummers dan de bsn? Er zijn echt wel makkelijke oplossingen als je systeem *minder* informatie moet hebben dan nu het geval is. Dat kost toch geen drie euro per pas? Of gaan ze een compleet nieuw systeem optuigen? Een beetje slimme pas kost nog maar een paar cent tegenwoordig.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True