Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eindhoven moet stadspassen met bsn's vervangen wegens schending AVG

De gemeente Eindhoven moet 268.000 stadspassen vervangen omdat die in strijd zijn met de privacywet. Tussen 2020 en 2023 krijgen alle inwoners van de stad een nieuwe pas waar geen persoonlijke gegevens zoals het burgerservicenummer meer op staan.

Het gaat in totaal 826.000 euro kosten om alle passen te vervangen, bevestigt de gemeente. Het gaat om nieuwe passen voor alle 231.000 inwoners van de stad, en 37.000 passen voor inwoners uit aanliggende gemeenten. Burgers krijgen die pas gratis als zij in de stad komen wonen, en kunnen die gebruiken om afvalcontainers te openen, te parkeren, of korting te krijgen bij het sporten.

Op de pas staat persoonlijke informatie zoals de volledige naam en geboortedatum van een bezitter. Ook staat het burgerservicenummer op de pas. Bij sommige passen staat dat op de kaart afgedrukt, bij andere is het bsn alleen digitaal uit te lezen via de chip in de pas. "Een deel van die persoonsgegevens hebben voor de huidige toepassingen geen functie", schrijft de gemeente in een reactie. "Dit is in strijd met het principe van dataminimalisatie van de AVG."

De gemeente gaat de passen vanaf 2020 vervangen. In het eerste jaar worden alleen de passen vervangen met een fysiek bsn, het tweede jaar de andere passen. Ook worden de overbodige gegevens dan uit het registratiesysteem van de gemeente verwijderd. Vanaf 2023 worden volgens de gemeente ook de passen van jongeren onder de 16 jaar vervangen. Wat voor passen die hebben, wat voor gegevens daarop staan, en waarom zij pas over 3,5 jaar een nieuwe pas krijgen kon de gemeente donderdag niet zeggen.

In totaal kost het 826.000 euro om de passen te vervangen. Het gaat daarbij volgens een woordvoerder om 'een investeringsbedrag' van 611.000 euro, verdeeld over drie jaar, en 191.000 euro aan 'incidentele projectkosten', staat te lezen in de Kadernota van de gemeente. Daarin wordt gesproken over totale kosten van 802.000 euro, maar volgens een woordvoerder ligt het daadwerkelijke bedrag hoger op 826.000 euro, al kon hij niet direct zeggen hoe dat zit. De gemeenteraad moet nog wel akkoord gaan met die kosten.

Of de pas na de aanpassingen aan de AVG voldoet, durft een woordvoerder van de Autoriteit Persoonsgegevens niet te zeggen. "Het hangt heel erg van hoe de gemeente dit aanpakt of dit nu een heel acute overtreding is. Dat is afhankelijk van details zoals waar die passen nu nog worden gebruikt, worden ze nog uitgelezen?" Het is daarom ook niet te zeggen of de uitfaseringstermijn van twee jaar niet te lang is. "Burgers kunnen bij ons altijd een klacht neerleggen als ze vinden dat dat te lang duurt", aldus de woordvoerder.

Vorig jaar trad de toezichthouder al op tegen de gemeente Arnhem vanwege de afvalpas die daar in gebruik was. De gemeente verwerkte gegevens over wanneer burgers afval weggooiden en kreeg daarvoor een last onder dwangsom opgelegd. Er moesten daarvoor ook verschillende dingen worden aangepast aan het afvalsysteem, zoals het verbeteren van de software. De woordvoerder van de AP durft niet te zeggen of de Eindhovense pas op dezelfde manier mogelijk in strijd is met de AVG. Afvalpassen zijn aan voorwaarden verbonden, zoals dat gemeenten burgers er vooraf over moeten informeren en dat gemeenten de gegevens voldoende moeten beveiligen.

Door Tijs Hofmans

Redacteur privacy & security

27-06-2019 • 16:34

93 Linkedin Google+

Submitter: Knopsje

Reacties (93)

Wijzig sortering
Even ter transparantie: ik heb aan de gemeente gevraagd waarom de uitfasering zo lang duurt en waarom de passen voor jongeren als laatste gaan, en ik wilde graag weten waar de discrepantie zit tussen wat de voorlichting zegt vs wat er in het rapport staat. Die heb ik vanochtend gesteld, maar kreeg net te horen dat er morgen om 15.00 pas meer antwoorden komen.
Belangrijkste vraag die niemand stelt: Waarom nog een stadspas?
Een reguliere ID kaart heeft namelijk ook een RFID chip en die kan je dus ook gebruiken voor al deze toepassingen...
Ik moet er toch niet aan denken dat een ID kaart verword tot een kortingskaart voor het zwembad. Daarnaast hebben veel mensen in Nederland geen zin in het kopen van een ID kaart of ze hebben er zelfs geen recht op.
Ik eigenlijk wel.
Kom met een enkele kaart, met een chip, waarop je verschillende applicaties kan zetten (kan nu al volgens mij?)
Dan kan je dezelfde kaart gebruiken voor ID, rijbewijs, paspoort, toegang op je werk, pinnen, etc.
Ik zie dat wel zitten, mits ik zelf de applicaties op de kaart kan beheren en ze netjes van elkaar gescheiden blijven.
Kun je die modden zodat je er bijvoorbeeld mee kan parkeren? Volgens mij niet toch?
Hangt van de kaartlezer bij de parkeerautomaat af, in principe kan je elke willekeurige pas gebruiken die een unieke identifier uitzend. Kwestie van database lookup of die identifier mag parkeren, vuil storten, zwemmen, etc.
En mag een gemeente wel een database aanleggen met alle identifiers van de ID-kaarten, rijbewijzen en paspoorten van alle inwoners van de gemeente? En deze database ook delen met alle sportinstellingen, de milieustraten,..?

Aangezien er ook mensen in de gemeente wonen die hun ID in een andere gemeente hebben ontvangen, moeten deze dus ook geregistreerd worden. Hier komt nogal wat bij kijken. Ik denk dat het praktischer is en vooral ook goedkoper om eenmalig een pas op te sturen naar nieuwe inwoners.
De gemeente heeft al zo'n database met de gegevens van alle inwoners. Ook wel bekend onder de naam GBA (Gemeentelijke Basis Administratie). Daarin staan juist al alle ID bewijzen welke de gemeente uitgeeft. Daarom kunnen zij jouw bijvoorbeeld een brief sturen als deze over 2 maanden verloopt..

Nu weet ik alleen niet of de chips op die passen ook geschikt zijn voor PKI toepassingen waarbij de scanner een challenge verstuurd welke de pas met de private key moet 'ondertekenen' middels een hash (bijvoorbeeld SHA256 Met RSA is een veel gebruikte standaard). De pas geeft als antwoord zijn public key ID en de hash terug. De scanner kan op basis van het ID de public key opvragen en de hash controleren. Gaat het om een afval container, dan kan de scanner ook controleren of het Key ID van de pas in de whitelist van bewoners staat..

Sportinstellingen, parkeergarage's, milileustraten en andere gemeentelijke instellingen hebben geen eigen database nodig. Het is de gemeente welke de database beheerd en ook de PKI challenge controleerd. De scanner krijgt alleen een true/false antwoord terug..

Ik weet alleen niet of de gemeente aan nieuwe inwoners mag vragen langs te komen met hun ID bewijzen om deze te laten registereren..

Je conclusie dat het veel eenvoudiger en goedkoper is om nu direct alle passen te vervangen lijkt mij correct. Eindhoven had in 2015 zo'n 220.000 inwoners. Als de gemeente 4 euro per pas kwijt is, moeten ze denk ik ook heel erg snel met een andere partij zoals Gemalto gaan babbelen. Die rekenen 2,50 per (debitcard) pas bij een oplage van 100.000 stuks.. En Meastro passen moeten aan veel meer voorwaarden voldoen dan een gemeentelijke pas wat betreft beveiligingen..

Daarbij kun je je ook afvragen waarom de NVG dit niet collectief regelt. Een zeer groot deel van de Nederlandse gemeentes geven eigen passen uit en de NVG kan een grote korting bedingen als zij op jaarbasis zeg 500.000 passen laat drukken, dan alleen een Eindhoven welke er normaal zo'n 22.000 (10% vervanging op jaarbasis) per jaar nodig zal hebben..
Je moet kunnen authenticeren. Zeg maar "het mac-adres" van de kaart is niet genoeg terwijl dat is wat iedereen kan uitlezen.
De kaartlezer moet het certificaat/key van de kaart kunnen controleren, en daarvoor moet ie kennis hebben van die specifieke certificaten.
De stadspas in Eindhoven is al oud (jaar of 15?) en heb je nodig voor de milieustraat om als burger gratis te mogen storten In Eindhoven zijn er 2 millieustraten met 2 of 3 slagbomen waar je je pas aanbiedt. De milieustraat is verreweg de grootste reden tot gebruik stadspas in Eindhoven, met op afstand dat je bij Winkelcentrum Woensel er een parkeersessie kunt starten, en dat je bij het Otterbad zwembad korting kunt krijgen. Parkeren bij Winkelcentrum woensel kan ook met een parkeer-APP of kaartje kopen. Millieustraat en parkeerterein zijn van de gemeente, en Otterbad mogelijk ook.

Tenzij je wekelijks bij de miliestraat komt is het niet waard om hem te bewaren in je portemonee en ligt hij bij mij in de keukenla. Mijjn stadspas is al in 2011 verlopen en de gemeente Eindhoven heeft geen nieuwe gestuurd en hij werkt nog steeds. Ik wil geen ID kaart, want heb al rijbewijs en paspoort en dat is genoeg.
Het rijbewijs heeft sinds 2014 ook een RFID chip.
De grootste reden is voor het weg brengen van afval, dat is op de milieustraat na het enige waar die hier voor gebruikt wordt. Overigens werkt de afvalbak ook met sommige andere passen, de beveiliging is niet echt geweldig.
Ik zou ook gevraagd hebben waarom deze passen aan personen worden gekoppeld, en niet (zoals in veel andere gemeentes) aan woningen. Vervolgens kan je een koppeling maken tussen woningen en bewoners via gegevens uit de GBA. Rekeningnummers kan de gemeente verkrijgen bij verhuizingen. Doe daar een proces bij voor de bewoner om een nieuwe pas aan te vragen indien deze kwijt is (oude bewoner per ongeluk meegenomen, bijvoorbeeld) waarbij de oude pas geblokkeerd wordt, en je komt al een heel eind met veel minder dubbel verzamelde gegevens.

[Reactie gewijzigd door The Zep Man op 27 juni 2019 18:03]

De stadspas in Eindhoven wordt ook gebruikt voor toegang tot de milieustraten en korting bij bijvoorbeeld toegang tot stedelijke sportfaciliteiten. Hierbij wordt visueel geïnspecteerd of jij wel de persoon op de foto bent om te voorkomen dat passen worden uitgeruild met niet-stadsbewoners.

Vandaar neem ik aan een foto, en koppeling aan een individu in plaats van aan een woning met meerdere bewoners, Daarnaast zou ook slechts één pas daarbij ook niet volstaan aangezien alle bewoners (en dus inwoners van de stad) tegelijkertijd bij verschillende faciliteiten gebruik ervan moeten kunnen maken.
De stadspas in Eindhoven wordt ook gebruikt voor toegang tot de milieustraten
Dat kunnen afvalpassen op naam van huizen ook in andere gemeenten. Elk huis heeft X afvalbudget en moet daarna bijbetalen. Een verhuizing geeft een nieuw budget.
en korting bij bijvoorbeeld toegang tot stedelijke sportfaciliteiten.
Klinkt als feature creep dat met een ander middel gedaan zou moeten worden. In ieder geval niet met een afvalpas.
Daarnaast zou ook slechts één pas daarbij ook niet volstaan aangezien alle bewoners (en dus inwoners van de stad) tegelijkertijd bij verschillende faciliteiten gebruik ervan moeten kunnen maken.
Er staat gemeentes niets in de weg om in bepaalde gevallen meerdere passen per adres uit te geven. Dat wordt ook hier en daar gedaan, bijvoorbeeld in het geval van het verhuren van kamers.

[Reactie gewijzigd door The Zep Man op 27 juni 2019 21:00]

[...]
Klinkt als feature creep dat met een ander middel gedaan zou moeten worden. In ieder geval niet met een afvalpas.
[…]
Beetje een vreemde redenatie dat een stadspas, wat in het in dit geval is, voor jou kennelijk per definitie een afvalpas is waar verder niets mee gedaan mag worden.

De gemeente zag het destijds in ieder geval dus niet zo, maar wilde het als een middel om alle individuele inwoners van Eindhoven gebruik te kunnen laten maken van de stedelijke faciliteiten. Dus van korting bij het zwembad tot het wegbrengen van het afval (waarbij dat laatste waarschijnlijk is gekoppeld aan het adres waar de betreffende inwoner woont zodat dit per woning gequoteerd kan worden).

Ik vind dat iig niet zo gek gedacht eigenlijk, en het bespaart weer allemaal losse pasjes voor elk van die doeleinden afzondelijk.
Ter verduidelijking: in Eindhoven betaal je niet per hoeveelheid afval, maar gewoon een vast bedrag per jaar. Je hebt wel een stadspas nodig om de afvalcontainers te openen of als je je afval gratis bij de milieustraat wil aanbieden.

Verder eens met je betoog: de stadspas is bedoeld als 1 handige pas voor meerdere functionaliteiten binnen de gemeente. Ja het hadden ook allemaal losse passen kunnen zijn, maar dat kost en meer geld voor de inwoners en levert meer pasjes op die je moet bewaren.

Blijkbaar worden er echter te veel persoonlijke gegevens opgeslagen naar de huidige maatstaven/wettelijke kaders en moet de pas aangepast worden.

[Reactie gewijzigd door Wasrek op 27 juni 2019 23:23]

Gebruik van de milieustraat in Eindhoven kost niets voor persoonlijk (niet-commercieel) gebruik. Dus het wordt niet verrekend per woning/inwoner. Wel moet je natuurlijk ingeschreven staan in Eindhoven om gratis van de milieustraat gebruik te kunnen maken.
Omdat je in omliggende dorpen moet betalen voor de milieustraat, is een stadspas uit eindhoven populair om even te lenen want dan kost het niets. Dat je er een foto op zit is waar, maar na 15 jaar stadspas is mijn foto verouderd, vervaagd, bekrast en zit er vuil achter het foto venster. Maar dat boeit de gemiddelde millieustraat medewerker toch helemaal niets. Die vragen naar wat je komt storen en kijken nieuwsgierig in je auto om je snel binnen te laten.
waarom de passen voor jongeren als laatste gaan
Ik vermoed omdat die gemiddeld het snelste verhuizen (Denk ook aan afstudeerders en schoolverlaters ivm de uni / hogeschool), en iedereen die verhuist (naar buiten Eindhoven) hoef je geen nieuwe pas te geven.
Wellicht, maar je hebt het nog steeds over jongeren ( jonger dan 16 zelfs). Persoonlijk zou ik die meer prio geven, ook omdat ik vermoed dat dat er maar weinig zijn. Maar goed, dat is speculatie
Ah, ik zie dat ik een alinea niet of verkeerd gezien heb; ik had met "jongeren" een wat oudere group in gedachten :+
Volgens mij was mijn Eindhovense stadspas al een jaar of 7 geleden verlopen (net als de pas van mijn vrouw), maar ik heb nog geen nieuwe ontvangen / bericht ontvangen. Ik gebruik de pas voor de milieustraat en om mee te parkeren in WoesXL.
Die van mij ziet er zo uit: https://www.stadsparkeren...-te-activeren.html?id=131
Aan de andere kant is mijn foto opgeplakt d.m.v. plakband in afwachting van een nieuwe pas :D

Het wordt dus hoog tijd voor een nieuwe pas.
Nuance: Niet elke inwoner heeft een nieuwe pas en velen stonden (net als wij) al op het punt om een nieuwe pas te krijgen.


Mooie informatie over de stadspas |:( 8)7 :
Heb je eerder in Eindhoven gewoond, dan kun je je oude stadspas gebruiken. Heb je deze niet meer, dan vraag je een nieuwe pas aan.

Klopt de geldigheidsdatum die op mijn stadspas staat?
Nee, alle stadspassen blijven geldig. Tot 2013 stond er een geldigheidsdatum op, maar ook deze pas kun je gewoon blijven gebruiken. Heb je je stadspas weggegooid? Vraag dan een nieuwe aan.


Je moet de stadspas je leven lang bewaren, zodat je geen nieuwe pas hoeft te krijgen / kopen als je weer terugkomt.

[Reactie gewijzigd door Kiswum op 27 juni 2019 16:55]

De Gemeente heeft zich na de invoering van de stadspas heel snel gerealiseerd dat het jaarlijks vervangen van de passen (en jaarlijks laten vervallen) een godsgruwelijke dure operatie was, en daarom is men de vervaldatum maar gaan negeren.
Ik ben die van mij kwijt wegens een paar verhuizingen en nooit gebruikt. Nu moet ik binnenkort naar de stort, uhm milieustraat en heb dus een nieuwe nodig. Op mijn vraag aan de gemeente of mijn nieuwe pas die ik ga aanvragen al AGV-proof is heb ik nog geen antwoord gekregen.
Mijn pas is van 2015 en die is al AVG proof.
Je BSN-nummer staat vermoedelijk niet op de buitenkant, maar wel als je de chip uitleest.
Dat zou kunnen zijn. Aan de buitenkant staat ie inderdaad niet.
Wel raar dat de overheid er zo lang over mag doen om deze passen te vervangen.
Mag een commercieel bedrijf er ook 2-3 jaar over doen? Nee die krijgen een boete.

Newmamoman
Wel raar dat de overheid er zo lang over mag doen om deze passen te vervangen.
Mag een commercieel bedrijf er ook 2-3 jaar over doen? Nee die krijgen een boete.
Kun je dat onderbouwen?
Volgens mij krijgen de meeste bedrijven ook eerst een waarschuwing en zijn ze behoorlijk coulant als je een beetje meewerkt. De paar gevallen die ik kan vinden hebben allemaal jaren de tijd gehad om hun zaakjes te regelen. Daarnaast zijn er ook boetes uitgedeeld aan de overheid zoals de boete voor het UWV en de boete voor de politie.
Ken jij zaken waarbij er boetes zijn uitgedeeld zonder dat het bedrijf jarenlang de tijd heeft gehad om het probleem op te lossen? (Dan heb ik het wel over vergelijkbare problemen, de boete van Uber ging over een heel ander stuk van de AVG, die hadden een database laten lekken en het niet gemeld, en zelfs dat heeft jaren geduurd).

[Reactie gewijzigd door CAPSLOCK2000 op 27 juni 2019 18:01]

Ik heb gevraagd hoe dit zit, de AP kan er niet te diep op ingaan omdat het zo specifiek is en ze kúnnen uit zichzelf onderzoek beginnen, maar doen ze lang niet altijd. Als ze getipt worden mogelijk wel. Als de AP het te lang vindt duren kunnen ze eisen dat die uitfasering versneld moet worden. Gemeente zelf gaf er geen antwoord op.
Belangrijk punt is dat dit ook voor de AVG al vele jaren verboden was.
Maar ja, toen stonder er nog niet zulke grote boetes op, dus negeerde men het gewoon.
Dat betwijfel ik. Eén pas op zich, is geen geautomatiseerde databank. De AVG zegt hier dus niets over. Het systeem wat passen uitgeeft is dat wel, dus dat zal aangepast moeten worden om deze gegevens niet meer te verspreiden (of indien mogelijk zelfs te bevatten).

Het lijkt me dus dat het in principe voldoende moet zijn om nieuwe passen niet meer te voorzien van deze overbodige gegevens, en oude passen volgens de normale roulatie te vervangen. Alléén als de passen geen (of een extreem lange) geldigheidsperiode hebben, zou het wenselijk kunnen zijn ze versneld te vervangen. Maar dan is het meer omdat je als gemeente natuurlijk moet doen wat het beste is voor je inwoners, niet persé omdat de AVG dit voorschrijft.
Enige nuance is hier op zijn plaats. De AVG gaat wel degelijk ook over 1 pas, als die een schending van de verordening inhoud. Wel klopt het dat bij geautomatiseerde processen afwijkende regels zijn t.o.v. systemen waarbij nog 1 of meerdere menselijke interacties/controles plaatsvinden.

De AVG schrijft daarbij voor dat je zo snel als mogelijk en in redelijkheid ten aanzien van de te maken kosten e.d. tot conformiteit moet komen. Het is in eerste instantie aan de AP om te bepalen of de gemeente hier aan voldoet met het voorgestelde plan. Hierbij moet o.a. gekeken worden naar de risico's die aanwezig zijn bij voortdurende non-conformteit.

Natuurlijk is het de bedoeling dat de gemeente handeld in het beste belang van haar inwoners, maar het kan wel degelijk zo zijn dat de AVG een versnelling afdwingt in deze situatie. Zonder alle details is daar echter niet iets zinnigs over te zeggen.

Wat overigens bijzonder is, als ik mij tenminste niet vergis, is dat dit onder de Wet Bescherming Persoonsgegevens (voorlganger van de AVG) ook al niet was toegestaan (BSN was daarin een bijzonder persoonsgegeven). Waarom overheden dus voor dit soort oplossingen kozen (denk ook aan BSN in BTW nummer ZZP-er) vind ik merkwaardig.
Dat van dat BTW-nummer is tamelijk logisch. De belastingdienst heeft ooit op zijn mooie blauwe enveloppen gezworen dat het alleen fiscale doelen zou dienen. Daar valt een KvK-inschrijving als zelfstandig ondernemer ook onder.

Alleen jammer dat de wetgeving ooit een keer aangepast is om van het SoFi-nummer een BSN te maken, want toen ging dat niet meer op.
Heel terecht dat laatste punt. In een heel groot deel van de gevallen waarin men zegt ‘ja dat mag niet meer van de AVG’, mocht dat eigenlijk ook al niet onder de Wbp.
Daar sta je dan, het BSN was zo'n mooie unieke sleutel voor je databasetabel. Dan moet 'ie natuurlijk ook op/in de pas.

Als dat niet meer mag, heb je in de database naast het bsn dus een nieuwe, niet naar een persoon te herleiden, nummerreeks nodig.

Zonde van de investering...
Het BSN is bedoeld als unieke sleutel voor je databasetabel als je specifieke onderdelen van de overheid bent of daar toe gemachtigd bent door de overheid. Anders moet je er gewoon van afblijven en is het een identifier die je niet zou moeten willen gebruiken, juist omdat je er mee bij gevoelige gegevens kan komen.

Ik ben dan ook wel blij dat het niet meer op zo'n pas komt. Als je je pas dan een keer kwijt raakt (en dat gebeurd, zeker met een afvalpas) hoef je je niet meteen zorgen te maken over of je BSN in het wild rond slingert.
Als je je BSN geheim moet houden dan is dat natuurlijk gewoon een ontwerpfout.

In principe zou je BSN net zo openbaar moeten zijn als een telefoonnummer. Als ik dat aan iemand wil geven is dat prima maar dat wil verder niet zeggen dat ze er ook kwaad mee kunnen.

Een BSN zou uitsluitend gebruikt moeten worden voor identificatie, niet voor authenticatie. Net als je telefoonnummer.

Ik heb veel liever dat ze die systemen die stom genoeg een BSN gebruiken om ergens toegang toe te verschaffen aanpakken in plaats van publiek gebruik van de BSN beperken. Als je die foute systemen aanpakt kun je daarna zonder moeite overal je BSN laten zien.

[Reactie gewijzigd door Maurits van Baerle op 27 juni 2019 17:10]

Als je je BSN geheim moet houden dan is dat natuurlijk gewoon een ontwerpfout.
Klopt, maar wetgeving is duidelijk. Het mag niet. Zeker de overheid (waar gemeentes ook onder vallen) moet een voorbeeld hiervoor zijn.

[Reactie gewijzigd door The Zep Man op 27 juni 2019 18:14]

Wet algemene bepalingen BSN en de uitvoeringswet Algemene Verordening Gegevensbescherming.
Van de UAVG is art. 46 goed om te lezen.
Nou ben ik niet zo goed op de hoogte van dit specifieke stukje wetgeving maar zegt die wet niet zoiets als “gebruik de minimale hoeveelheid informatie die nodig is voor een dienst” en niet “gebruik geen BSN”.

Op zich zou, juist voor een overheidsdienst, een BSN het minimaal noodzakelijke moeten zijn.

Misschien zou het effectiefste zijn als iemand de beheerder van een systeem dat de BSN voor authenticatie gebruikt eens voor de rechter zou slepen. Dan komt er wat schot in de zaak.

[Reactie gewijzigd door Maurits van Baerle op 27 juni 2019 20:05]

In de Uitvoeringswet AVG staat dat een nummer ter identificatie (lees: BSN) alleen gebruikt mag worden als de wet dat specifiek voorschrijft.
Ze konden de bsn ook encrypted op de pas plaatsen🤷‍♂️
Het lijkt simpel: Hash de BSN, en je bent klaar. Maar zo werkt het niet.

In de eerste plaatst omdat je dan alle BSN's van nederland op dezelfde wijze kunt hashen, en weet welke BSN bij welke hash hoort. Maar ook met voldoende salt gaat het er uiteindelijk om of je indivdiuen kunt identificeren met (een combinatie van) data. Dat die data een gepseudonimiseerde versie van je BSN is, maakt dan niet zo veel uit.
inderdaad, en zo hoort het ook.

iets dat geëncypteerd kan ook terug gedecrypteerd worden en dus achterhaald.
een goede hashing is kan je niet terug niet omvormen naar het origineel.
daarom worden wachtwoord die geverifieerd dien te worden steeds gehashed en niet geëncrypteerd
een goede hashing is kan je niet terug niet omvormen naar het origineel.
Er zijn ongeveer 91 miljoen BSNs mogelijk (bron: Wikipedia). Dan kun je hashen en salten en trucjes uithalen wat je wilt, het botweg uitrekenen van alle 91 miljoen hashes en op die manier een reverse lookup mogelijk maken is volkomen haalbaar.
ik had er inderdaad niet bij stil gestaan dat je met een beperkt/doenbaar aantal mogelijkheden dit inderdaad kan bruteforcen...

dan zijn er nog manieren.
neem een hash van. "stukjegeheimetekst<BSN>2destukjegehuimetest" en dan word het zo goed als onmogelijk. (zolang je de phrases niet kent)

of je gebruikt wel encryptie maar dan asymmetrische (met een private encryptie key en public decryptie key)
En de publieke encryptie key verwijder je gewoon compleet en de private houd je geheim (ook kwasi onmogelijk tenzij je de private key kent)

Deze 2de optie heeft dan de voorkeur vermits asymmetrische encryptie voor hardware en software algoritmes relatief belastend en dus ook trager is. (en dus ook duurder want een botnet of gestolen credit cards zijn niet gratis)

Verder is het natuurlijk een risico als het hasing/of asymmetrische encryptiesysteem geïntegreerd is in een publiek toegankelijk systeem als dat dan gehackt word.

daarom is het best practice om het hasing/encryptie dat het systeem word losgekoppeld/afgeschermd als bijvoorbeeld een Soap servie die de hasing/encryptie doet met bijvoorbeeld maximaal 1 hash/encryption per 5 seconden toelaat (dan moet je al meer dan 14jaar ondetecteerbaar in het publiek systeem zijn binnengedrongen)
Het maakt wel degelijk iets uit, maar niet voor of het wel of niet een persoonsgegeven is onder de AVG, en of je met die hash te identificeren bent. Als je met hash(BSN) overal getrackt wordt omdat het een constante waarde is die iedereen kan uitlezen, ja dat is vervelend. Maar nog veel vervelender is om overal met het BSN op zich tekoop te lopen..

BSN wordt gebruikt door de overheid, en als je iemands BSN hebt kan je je (veel makkelijker) als die persoon voordoen richting de overheid en van alles en nog wat uithalen (leningen afsluiten, wit-was bedrijf starten in diens naam).

Met hash(BSN) kan je getracked worden, maar met enkel BSN kan je ook slachtoffer worden van identiteitsdiefstal.
Hadden ze bij ontwikkeling maar iets beter moeten nadenken, het is niet de eerste keer dat BSN onder vuur komt te liggen (zzp'ers met kvk nummer). Deze pas is enkel voor inwoners van Eindhoven, een eigen ID op basis van je inwoners had ook voldoende geweest (en secondair koppeling in hun systeem naar BSN, als dat wel binnen AVG zit).
1.000.000 down the drain....maar niet getreurd, dat betalen de inwoners wel weer terug. :+

[Reactie gewijzigd door harrytasker op 27 juni 2019 18:55]

uhh, probleempje, doordat het een ID is van de stad (Overheid) en die gekoppeld is aan jouw persoonsgegevens (naam adres), maakt DAT ID eigenlijk het net hetzelfde als de BSN...
Blijf het nog steeds te achterlijk voor woorden vinden waarom het BSN niet gebruikt mag worden in je iegen systeem, het is het perfecte nummer om iemand te identificeren, waarom moet ik dan zelf een eigen nummer gaan bedenken.
Volgens die redenatie is jouw telefoonnummer ook hetzelfde als je BSN. Want je provider heeft een kopie van je ID kaart, en heeft dus jouw telefoonnummer en het BSN in dezelfde dataset staan.
Yep, eigenlijk wel ja..
Niet de BSN is de unieke sleutel zoals zo vele denken. Het A-nummer is de unieke sleutel in NL voor personen ingeschreven in de BRP. Dat zijn die personen die in NL wonen of die gene die een relatie hebben met NL en daarom ook bekend zijn (RNI).
Voor die gene die geïnteresseerd zijn zoek bij www.rvig.nl op, ach weet je wat (download https://www.rvig.nl/binar...-3.11/LO+GBA+3.11+def.pdf waarschuwing) kijk maar even +700 pagina's leesplezier (altijd bereid toe te lichten :+ )
Zonde van de investering...

En ook onnodig en een stap de verkeerde kant op.

Ik ben het er op zich mee eens dat een BSN een persoonsgegeven is, maar dat si een naam ook. Dus de vraag is stat er een naam op zo'n afval-pas? Zo ja, dan maakt het geen bal uit of iemands naam of BSN erop staat.

Nu zal iemand opperen, ja maar met een BSN kun je fraude plegen. ja, exact en dat is het probleem. De BSN zo net zo openbaar moeten kunnen zijn als iemands naam. En natuurlijk net zoals ik niet wil dat mijn naam zomaar overal staat wil ik niet dat mijn BSN overal staat, maar het bekend zijn van mijn BSN zou 0% meer gevaar mogen opleveren dan het bekend zijn van mijn naam.

Het punt dat ik maak, is dat het probleem is dat teveel systemen een BSN zien als een geheim wachtwoord, en de overheid nu angstvallig probeert het BSN meer geheim te maken, terwijl die systemen die BSN als geheim beschouwen nu net het probleem zijn. Die systemen moeten aangepast worden om iets anders als authenticatie te gaan gebruiken.
Dat is mijn document nummer ook of @/€),€/!-!&,63!&/,,73&!.7-8!?3€€,)-!&8,€!1 alleen dat laatste is niet te onthouden... een nummerreeks of mail alias was al goedkoper geweest dan dit systeem want het is geheel waardeloos nu. Legio aan mogelijkheden maar toen dit systeem opgetuigd werd was je BSN een vrij te schieten vogel. Dat is tegenwoordig niet meer. Al gooit de overheid wel vaker geld weg, 112 apps... pasjes.. wegennet.. bepaalde “volksvertegenwoordigers”... grapje daargelaten. Dure operatie die vermoedelijk gewoon doorberekend wordt aan de inwoners van Eindhoven
Staat het BSN nummer alleen op de chip dan? Ik heb een stadspas van Eindhoven maar als ik er naar kijk zie ik nergens een BSN nummer van mijzelf staan. Staat sowieso vrij weinig op de pas qua text. De chip zelf kan ik niet uitlezen, die is ge-encrypt volgens de NFC tools op mijn Android telefoon, of zijn er systemen van derden die dit uit kunnen lezen zonder de encryptiesleutel die, als het goed is, alleen de gemeente in handen heeft?
Er zijn twee versies:
De gemeente gaat de passen vanaf 2020 vervangen. In het eerste jaar worden alleen de passen vervangen met een fysiek bsn, het tweede jaar de andere passen
Jij hebt dus 1 van de tweede groep.

En encrypted of niet, het is een encryptie die ook decrypted moet kunnen worden (anders weet het systeem niet wie je bent - of het systeem is dusdanig dat alle systemen werken met dezelfde encrypted string, wat ik niet verwacht), dus in theorie is hij gewoon te kraken.
De oude passen hebben er nog een geldigheidsdatum opstaan (t/m 31/12/2011) en zijn nog goed. Staat ook op de site van de gemeente. Op de losse folie die je over je pasfoto plakt staat een faxnummer en je bsn gedrukt.
In Alphen aan den Rijn hebben we sinds een jaar of wat ook een afvalpas voor de afvalcontainers. Deze zijn gebonden aan je woning, in de zin dat er van je verwacht wordt dat als je verhuist je de pas aan de nieuwe eigenaren van de woning geeft.

Echter kon ik in diezelfde brief waar ik bovenstaande las niks vinden over hoe ze met deze gegevens omgaan, wat ik wel raar vond.

Ik was mijn pas kwijt, en moest een nieuwe aanvragen, waarvoor ik wel mijn naam en adres moest invullen bijvoorbeeld. Ik neem aan dat deze passen dus indirect gekoppeld zijn/kunnen worden aan mijn persoonsgegevens, via het huis waar ik woon.

Ik ben dus benieuwd in hoeverre ze data bijhouden van welk huis wanneer wat weggooit, zij het alleen in logboeken. Er zijn geen kosten verbonden per afvalzak of iets dergelijks, je kan zoveel weggooien als je wil. Verder betaal je gewoon een vaste afvalheffing, zoals het was voordat ze de pas invoerden.

Misschien moet ik ze maar eens bellen.
Wat niet is, kan altijd nog worden doorgevoerd: Nu is afval gratis, maar een gemeente kan dit wellicht koppelen aan het aantal afvalzakken dat je weggooit. In naast gelegen gemeentes kost de afvalstort geld of mag je maximaal 2 keer storten. Bij andere gemeenten, zoals Eindhoven, is het onbeperkt gratis voor huisafval.
Die zullen in gemeentesysteem natuurlijk gekoppeld zijn, maar ik verwacht dat die containers niets meer dan 'ID correct => open' doen,

Was wel 1 van de redenen dat Gouda dit dus (nog) niet doet, daar heb je gewoon zakken die je vooraf moet betalen (dat registreren ze wel, maar niet wanneer je ze gebruikt), of met een generieke badge voor de containers.

Kans is natuurlijk groot dat dit wordt bijgehouden, je ontkomt er niet aan dat in die toekomst je compleet individueel wordt afgerekend op je afval, geen 'algemene bijdrage' en 'eigen bijdrage' meer, maar puur wat je daadwerkelijk aan zakken/containers verbruikt.
je ontkomt er niet aan dat in die toekomst je compleet individueel wordt afgerekend op je afval, geen 'algemene bijdrage' en 'eigen bijdrage' meer, maar puur wat je daadwerkelijk aan zakken/containers verbruikt.
Ook dat zal een discussiepunt zijn. Gaat het per zak of per gewicht ?
Mijn alleenstaande oude buurman die een halfvolle zak per week weggooit, of ik, die net zo vrolijk een volle en zware zak van een kilo of tien /twaalf weggooit met kattenbakvulling.
In Waddinxveen betaal je voor de grijze zak 1,50 per leging in de ondergrondse container / per aanbieding in de milieustraat. Je buurman is dan goedkoper uit door twee halve zakken tegelijk in de container te stoppen. Naast dit variabele deel (per aanbieding) betaal je ook een vast bedrag aan afvalstoffenheffing.
Afval containers in Eindhoven werken ook op andere passen. Vroeger waren ze gekoppeld aan je locatie maar mag niet meer al een tijdje
Gelukkig heb je onofficieel de stadspas in Eindhoven niet nodig voor de ondergrondse afvalcontainers. Die reageren na jaren nog steeds op elke willekeurige RFID pas.https://www.ed.nl/eindhov...afvalcontainers~abac3101/

#link toegevoegd

[Reactie gewijzigd door 3ssen op 27 juni 2019 16:45]

Oh wow. Ik weet wel dat ze openen met m'n tag om het appartementencomplex ook in te komen, maar ik ging er vanuit dat ze dat zo geconfigureerd hadden. In feite zou dus elk RFID ding werken? Da's goed om te weten :D Dan kan ik mss mijn tag ook wel in andere steden gebruiken.
Mijn pas deed het niet meer voor de container naast de flat vanaf de dag dat ik uitgeschreven was op dat adres.in Eindhoven
Dat doet het al een tijd niet meer hoor.
Ik krijg er in Meerhoven nog genoeg open met de chipkaart van mijn werk.
Dat is inderdaad erg handig, je hebt ze echter wel nodig voor de vuilstort (maar daar kom je meestal minder vaak :p )

Waar ze voor bruikbaar zijn bij parkeren of ‘korting bij sporten’ zou ik echter niet weten, heb daar nooit iets over gezien.
Ondertussen is elke ZZPer verplicht om met elke factuur zijn eigen privacy te schenden en ook daar heeft de overheid zichzelf ruimschoots de tijd voor gegeven.
Meten met 2 maten.
Het is gewoon kijken naar de (mogelijke) gevolgen.
Volgens de AVG klopt het niet, dus moet het aangepast worden. Het risico op misbruik is nagenoeg 0 (evenveel als misbruikt van naam en adres dat iedere ZZP-er van de daken schreeuwt). Dus het is logisch dat ruimte wordt gegeven om het op een degelijke manier op te lossen.

Die omnummering van BSN naar een apart ON-nummer zal voor veel ZZP-ers nog zeer grote problemen opleveren.
En in 2024 komen er weer nieuwe passen omdat er dan weer meer gegevens in moeten en dit aansluit op de nieuwe diensten die dan aangeboden worden...
"Burgers krijgen die pas gratis als zij in de stad komen wonen"

Hahaha, ja en ik ben een ei. Dat betaalt iedereen toch via belasting. Niks gratis. De bedragen staan er bij, deel effe door het aantal inwoners dat er ook bij staat en je weet ongeveer wat die pas je kost als Eindhovenaar.

Goed dat het allemaal wordt aangepakt. Jarenlang is er veel te gemakkelijk omgesprongen met pricvacy. Helaas kost het de inwoner wel erg veel geld, en ik vraag me af of het niet goedkoper kan dan de drie euro per pas die ze nu beramen. Is het niet gewoon het systeem aanpassen met een extra kolommetje, kolommetjes die je niet meer wil wissen en dan nieuwe passen printen? Of het bsn kolommetje gewoon gaan gebruiken met andere nummers dan de bsn? Er zijn echt wel makkelijke oplossingen als je systeem *minder* informatie moet hebben dan nu het geval is. Dat kost toch geen drie euro per pas? Of gaan ze een compleet nieuw systeem optuigen? Een beetje slimme pas kost nog maar een paar cent tegenwoordig.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True