Gegevens van miljoenen Nederlanders in coronasystemen GGD worden verhandeld

Privégegevens van Nederlanders die in twee coronasystemen van de GGD staan, worden illegaal verhandeld. Het gaat onder meer om burgerservicenummers. De politie heeft twee verdachten gearresteerd nadat RTL Nieuws de datahandel aan het licht bracht.

Uit onderzoek van RTL Nieuws blijkt dat privégegevens uit twee GGD-systemen te koop zijn via chatdiensten als Telegram, Snapchat en Wickr. Er zijn accounts die aanbieden om een specifiek persoon op te zoeken, dat zou tussen de 30 en 50 euro kosten. Afnemers ontvangen dan adresgegevens, het e-mailadres, telefoonnummer en burgerservicenummer.

Er zijn ook accounts die grote datasets aanbieden, met daarin gegevens van tienduizenden Nederlanders. Volgens RTL Nieuws vragen criminelen daar duizenden euro's voor omdat de burgerservicenummers veel waarde hebben. De gegevens kunnen bijvoorbeeld gebruikt worden voor identiteitsfraude.

De persoonsgegevens komen uit CoronIT en HPzone Light. Eerstgenoemde is een registratiesysteem voor coronatesten waar zo'n 26.000 GGD'ers en callcentermedewerkers van testlijnen toegang toe hebben. Het tweede systeem wordt gebruikt voor het bron- en contactonderzoek van de GGD. In HPzone Light staan de gegevens van met het coronavirus besmette Nederlanders.

Volgens RTL Nieuws weet de GGD niet hoeveel mensen toegang hebben tot HPzone Light, maar gaat het onder andere om medewerkers van het Rode Kruis, de ANWB en callcentermedewerkers van Teleperformance.

Bronnen van RTL Nieuws zeggen dat het door thuiswerken makkelijker is om persoonsgegevens uit de database illegaal te verhandelen. Een tussenpersoon die data doorgeeft aan een crimineel zegt honderden euro's per dag te krijgen voor het doorsluizen van de gegevens.

De GGD wist niet van de handel in persoonsgegevens uit zijn systemen. De instantie zegt nu de monitoring van de systemen 'verder op te schalen'. Eind maart moeten de systemen 'automatisch en continu' worden gecontroleerd. De Autoriteit Persoonsgegevens spreekt van een mogelijk ernstig datalek en eist opheldering van de GGD.

Afgelopen vrijdag heeft RTL Nieuws de GGD ingelicht, waarna direct een onderzoek is gestart door de politie. In het weekend zijn twee verdachten van 21 en 23 aangehouden, die beiden in een callcenter werken.

Vorige week bracht Nieuwsuur een ander privacyschandaal naar buiten dat te maken heeft met het coronavirus. Bij het commerciële testbedrijf U-Diagnostics werden gevoelige persoonsgegevens en medische gegevens gedeeld in een WhatsApp-groep met driehonderd leden en opgeslagen in een slecht beveiligde database. Onder andere Defensie gebruikte U-Diagnostics.

Update, 17:38: Volgens de politie gaat de GGD getroffen Nederlanders inlichten als duidelijk is dat hun data is verhandeld. De GGD heeft aangifte gedaan en melding gedaan bij de Autoriteit Persoonsgegevens.

Door Julian Huijbregts

Nieuwsredacteur

25-01-2021 • 16:30

423 Linkedin

Submitter: tom.cx

Lees meer

Reacties (423)

-14230402+1218+230+33Ongemodereerd125
Wijzig sortering
Wat maar weer bewijst: tegen corrupte medewerkers is niets bestand. En als je extra beveiligingen inbouwt voorkom je iets, maar nooit helemaal. Dan wordt het voor de criminelen slechts duurder. Uiteindelijk is iedereen te koop.
Dit is precies waarom je sommige gegevens nooit zou moeten opslaan in minder dicht getimmerde systemen. Dat BSN nummers hier worden opgeslagen is eigenlijk van de zotte, een goed gesalte hash zou al een boel helpen. Al moet ik toegeven dat het wel een stuk eenvoudiger is om te brutefocen omdat men weet wat het formaat van een BSN nummer is.
Het punt is vooral dat ik geen enkele reden kan bedenken om het BSN nummer te weten anders dan om te controleren wie iemand is en om het later aan medische systemen te koppelen. Beiden zouden moeten kunnen met volledige naam en een afgeleide van het BSN nummer (hash van de laatste 6 cijfers bijv), het BSN nummer is toch al bekend in beter beveiligde systemen en voor een controle is de hash makkelijk te controleren.
Als gewoon een "nummertje" en je naam een veiligheidsrisico vormen dan is er duidelijk iets fout met het systeem en dat los je niet op door allerlei extra pogingen om dit geheim te houden.
Dat klopt,
Het feit dat een BSN nummer waarde heeft en dat een kopie van een ID kaart, een bewijs is.
Is het falen van de overheid.
De overheid loopt al jaren achter de ontwikkelingen aan.

Dat de bank aan de telefoon vraagt, wat is uw postcode en uw geboortedatum.
En vervolgens er van uit gaat, dat ik het ben.
Is toch niet van deze tijd.
In de jaren 60 hadden ze al een wachtwoord in de kaartenbak van de bank.
Dat moest je dan noemen, voor vertrouwelijke informatie.
En bij iedere winkel vragen ze je je geboortedatum en postcode.
hoezo prive... |:(
En bij het ophalen van een pakketje scannen ze je ID
De oorsprong van dit probleem is natuurlijk dat je met NAW en BSN veel te veel kan. Waarom zou er op je paspoort en ID kaart niet gewoon een private key kunnen zitten waarmee je een challenge kan ondertekenen/antwoorden voor zaken waar een instantie echt zeker moet weten met wie hij te maken heeft?
En dan ga je op vakantie en dan moet je paspoort afgeven bij hotels. Waarbij sommige het ook niet accepteren als je iets afdekt.
Dat heb ik inderdaad meegemaakt. Voor de huur van een appartement wilden ze het paspoort scannen. Dat hebben we geweigerd en verteld dat ze wel een kopie opgestuurd konden krijgen (via KopieID) maar dat "kon de app niet verwerken". Uiteindelijk werd gedreigd met de politie waarop wij voorstelden om dat makkelijker te maken en met zijn allen nu naar het lokale politiebureau te gaan en mochten zijn uitleggen waarom wij, tegen de wet in, ons paspoort moesten laten inscannen.
Plotseling was de kopie via KopieId wel geschikt.

Ook een ander hotel een discussie gehad en ze simpelweg verteld dat ik het paspoort niet af mag geven. Een briefje van de ANWB (zie https://www.anwb.nl/jurid...eken/paspoort-achterlaten) doet in zo'n geval ook wonderen.
Als jarenlange expat weet ik al niet beter meer dan dat er voor allerlei zaken een kopie paspoort nodig is. Het is zelfs de doodnormaalste zaak dat je voor bijv een visum dan wel een verlenging je paspoort enige tijd kwijt bent, dagen en soms zelfs weken. Immigratiediensten zijn niet overal even snel en vaak zelfs ronduit traag. Nederlanders kunnen het zich vaak niet voorstellen maar de realiteit buiten de landsgrenzen is gewoon heel anders dan men gewend is. Hotels die om paspoorten vragen doen dat omdat de wetten van het land dat voorschrijven en het personeel dus ook getraind is om erom te vragen. Als je dan moeilijk doet en het kan uiteindelijk wel anders dan is dat niet zozeer omdat je zo goed van je recht gebruikmaakt of denkt te maken, maar meer door cultuurverschil en omdat de receptie ophef probeert te voorkomen. De Nederlandse cultuur is vooral gebaseerd op wederzijds wantrouwen als het over papierwerk gaat terwijl in veel andere culturen vertrouwen het uitgangspunt is. In de meeste gevallen blijkt dat ook prima te werken.

Als toerist begrijp ik wel dat het lastig is om dergelijke situaties te beoordelen. Als je er langer mee te maken hebt dan slechts een vakantie dan krijg je vanzelf in de gaten dat je de realiteit buiten de landsgrenzen gewoon hebt te accepteren als je er langer wilt verblijven. Je leert vervolgens de betrouwbare visumagenten wel te vinden. En uiteraard blijf je je gezond verstand gebruiken. Ik heb na al die jaren gelukkig nog geen negatieve ervaringen op dit gebied. Maar als expat val je sowieso al in een buitencategorie op dit vlak. Partijen als de ANWB geven dan niet meer thuis. Een internationaal rijbewijs verstrekken ze bijv niet meer als op het Nederlands rijbewijs een aantekening staat dat je in het buitenland woont. Een Nederlands internationaal rijbewijs is alleen voor toeristen. De ambassade hoef je voor dit soort zaken ook niet aan te kloppen. Oftewel je leert roeien met de riemen die je hebt en gaandeweg krijg je daar een hele andere mindset in. Overigens is het hier ook heel normaal dat je een kopie krijgt van alle huispapieren als je een huis huurt en daar zit dan ook een kopie van de ID van de eigenaar bij. Die kopie moet volledig leesbaar zijn want anders accepteert immigratie het simpelweg niet en dan kun je fluiten naar je visumverlenging. Slikken of stikken dus en ik blijf liever hier dus dan heb je simpelweg geen keuze.
Echter is er het feit dat je als Nederlander je paspoort/identiteitskaart nooit uit handen mag geven (tenzij aan een hiervoor bevoegd ambtenaar). Dat is tegen de wet.
Dan kan het zo zijn dat zij voor hun wet een kopie van een traceerbaar document nodig hebben, maar dan is een gegeven kopie of voorkant van het rijbewijs voldoende.

Het is niet voor niks dat als je een testrit maakt in een auto de kopie van je rijbewijs vernietigd moet worden zodra geconstateerd is dat jij de auto netjes terug gebracht hebt, dit zijn wetten om de burger te beschermen.

Ik snap dat jij als expat met andere dingen te maken hebt die wellicht heel irritant zijn (zoals de regel dat je voordat je vertrekt een internationaal rijbewijs aan moet vragen). Maar dat is geen reden om de wet te overtreden en dit toe te staan.
(Ps. visumaanvragen zijn als het goed is bij bevoegde ambtenaren)
Ik denk (zeg het als ik fout zit) dat jij nog nooit voor langere tijd in het buitenland hebt gewoond... Als een buitenlandse instantie een kopie eist van de voor en achterkant van je paspoort (dus incl. BSN) voor visumverlenging, aanvraag van een werkvergunning, werkgever (als je geen expat bent), pensioenfonds, dan moet je dit gewoon slikken.

De eerste keer ga je er ongetwijfeld tegenin, maar tegen de tijd dat de ambtenaar of administratief medewerker zegt: 'Geen volledig leesbare kopie? Dan ga je toch weer lekker naar Nederland', en je bent er voor je hebben en houden van afhankelijk, dan laat je dat kopietje gewoon maken.

Het is gewoon dom dat standaardinfo als een BSN in Nederland als zulke gevoelige info wordt gebruikt. Geen wonder dat mensen daar in het buitenland geen begrip voor hebben.
...(zoals de regel dat je voordat je vertrekt een internationaal rijbewijs aan moet vragen)...
Dat is waar voor toeristen en voor korte verblijven. Een internationaal rijbewijs is max. 3 jaar geldig dus als je langer dan 3 jaar in het buitenland woont dan moet je toch echt op zoek naar andere oplossingen...
+1Anoniem: 1330988
@Kevinns26 januari 2021 20:28
Zie hieronder. Dat internationaal rijbewijs is een farce.
Helemaal mee eens helaas.
Als je je als Nederlands burger aan die wet houdt dan valt het overgrote deel van de landen af als mogelijke verblijfplaats. Je ontkomt er dan simpelweg niet aan om je paspoort af te staan. Visumaanvragen verlopen in heel veel gevallen via agenten, ook in Nederland overigens. Dit zijn private ondernemingen die de shortcuts weten door het lokale bureaucratische, ambtelijke apparaat. Als je alles naar de letter van de wet doet dan is dat weliswaar correct maar in veel gevallen maak je je leven dan een living hell. En in bepaalde gevallen ontkomt je er zelfs niet aan om via een agent te werken omdat veel visums niet direct in een ambassade of consulaat verstrekt worden.

Een internationaal rijbewijs is overigens maar 2 jaar geldig. Dat was tot voor kort zelfs maar 1 jaar. Wat volstrekt onzinnig is als het echte rijbewijs 10 jaar geldig is. Het kartonnen vodje is niet meer dan een quasi officiele vertaling van het originele document. Het zou gewoon gratis verstrekt moeten worden bij het echte document en met dezelfde einddatum. Het is voor de ANWB niets anders dan een melkkoe.

[Reactie gewijzigd door Anoniem: 1330988 op 26 januari 2021 20:29]

Je vraagt je dan wel af waarom het BSN nummer dan in je identiteitspapieren moet staan. De instanties die je BSN nummer perse moeten weten zouden dat ook via het nummer van je paspoort of ID kunnen achterhalen lijkt me.
Dat BSN nummer is zo open als het maar kan.
Helaas moet ik gebruik maken van medicijnen, als chronisch patient.
Op ieder doosje staat het BSN nummer vermeld.
Ik doe alle oude verpakkingen dan ook per definitie door een papierversnipperaar.
Maar aangezien deze medicijnen door meerdere handen gaan heb ik uiteraard geen controle over wie deze informatie allemaal ziet en gebruikt.
De overheid doet moeilijk over BSN, maar staat zelf aan de oorsprong van de problemen.
Interessant, ik heb net even wat receptjes van mij gecontroleerd en daar staat geen BSN op. Is dit omdat het sterk gereguleerde medicijnen zijn ofzo? Of is dit (raar) beleid van de apotheek?
Goede tip die ANWB link kende ik nog niet.
Ah, en hoe doe je dat in Colombia, Thailand of USA?

[Reactie gewijzigd door wifikabelhuren op 25 januari 2021 23:49]

Dat doe ik al jaren niet meer, het paspoort hou ik vast en mogen ze alleen even bekijken.

Tot nu toe nooit echt geweigerd en zie toch best wel wat hotels in “non Corona jaren”.
Wellicht reis je dan binnen Europa, maar daar buiten lukt je dat vrijwel nergens meer.
Nee daarbuiten, Noord-Amerika voornamelijk.
(2020 uiteraard niet)
Dat verklaard inderdaad wel de andere beleving. Mijn reizen de laaste jaren concentreren zich wat meer rond de aziatische en (ex)soviet gebieden.
Aah daar kom ik dan weer niet :)
daar geef je gewoon je paspoort af.
anders krijg je geen kamer een een acceptabel hotel, heel simpel.
anders kan je naar een of ander zeer goedkoop hotelletje waar ze het met de rest van de regels niet zo nou nemen.
dan ben je de camera, ipad, laptop en je geld na 1 of 2 dagen al kwijt.
Kopietje maken vooraf met afgeschermd BSN nummer en op het kopie duidelijk aangeven dat het een kopie is. Je kunt dit kopie laten verifiëren maar het paspoort in de hand houden. Nog nooit proberen mee gehad
ga maar eens naar vietnam, thailand, myamar, cambodja.
copietje maken ze zelf wel.

jou copie willen ze niet.

wil jij geen copie laten maken, ga je maar ergens op straat slapen
Je zal echt gelijk hebben, ik heb alleen ervaring in Europa van Noord naar Zuid en west naar Oost, in Portugal stonden ze nog even vreemd te kijken, maar dat was bij de receptie van een Portugese politie camping
Bij de nieuwe (tenminste sinds 2017) paspoorten staat het bsn op een andere pagina dan de persoonsgegevens.
Het BSN nummer staat nog steeds gewoon leesbaar op de voorkant, in de code onderin de pagina met persoonsgegevens.
Inderdaad, wist ik niet / is me nooit opgevallen. Goed te weten, dank!
Daarom maak ik altijd zelf kopien van mijn paspoort en neem die mee.
Hoef je je paspoort geen moment uit het oog te verliezen en kan je BSN gewoon afdekken. Die hebben ze nergens voor nodig.
En dan staat er een medewerker tegenover je die gewoon doet wat management vraagt: origineel paspoort of ophoepelen.
Die originele laat je zien, maar daar blijft de medewerker met zijn vingertjes van af.
Tot je daar met je gezinnetje in India bij een hotel staat, een goeie 20 uur gereisd om in een klein dorpje aan te komen. Het personeel achter de balie is verteld dat ze een kopie van het paspoort van alle buitenlanders moeten maken volgens hun wet, en gaat echt niet hun baan opofferen omdat jij je reisdocument niet in z'n geheel wil laten zien.
Je keuze is dan of om je hele gezin 20 uur mee terug te zeulen, waar ze de komende twee weken teleurgesteld in de tuin zitten rond te staren, of toch maar het risico nemen en iemand in een 4-sterrenhotel die 4 jaar hotelschool heeft gedaan en gewoon zijn of haar best doet een boterham te verdienen je paspoort geven.

Ik denk dat 99.99999% van de mensen in die situatie niet eens twijfelen over wat de juiste keuze is, en als je dat wel doet dan kun je beter bij voorbaat al thuisblijven.
Inderdaad. De overheid zou ervoor moeten zorgen dat mensen een nieuw BSN kunnen krijgen. Of een ID-kaart met een tijdelijk BSN of zonder BSN, speciaal voor buitenlandse boevenhotels.

Als de overheid een probleem creeert door het BSN zo uniek te maken dat je er fraude mee kunt plegen, dan moeten ze daar ook een oplossing of workaround voor aanbieden.
Of een ID-kaart met een tijdelijk BSN of zonder BSN, speciaal voor buitenlandse boevenhotels.
De variant 'met zonder BSN' bestaat al. Die krijg je als je als Nederlander woonachtig in het buitenland bent en bij de Nederlandse ambassade of bij het buitenlandloket van de gem. Den Haag een nieuw paspoort aanvraagt. Tenminste, tot voor een paar jaar terug was dat nog zo. Weet niet of het nu ook nog zo is.
voor 99.99% onmogelijk om een nieuw bsn nummer te krijgen.
dit zit te veel verweven in alles wat je bent, hebt, weet gedaan hebt, nog gaat doen.

als je toegang zou hebben tot alle systemen heb je alleen maar het bsn nummer nodig om alles maar dan ook echt alles te weten te komen van een porsoon.
bank gegevens, justitie gegevens, medische gegevens, echt alles
Maar een BSN is nou eenmaal onderdeel van een geldig Nederlands paspoort. Als je bij de gemeente met je paspoort een ander document aanvraagt en je hebt alleen een kopie zonder BSN bij, dan word je ook geweigerd.

Hetzelfde geldt daar, die mensen weten goed hoe een paspoort eruit hoort te zien en hebben vaak ook gewoon een document waarin ze de criteria kunnen opzoeken. Een paspoort zonder BSN zou geen paspoort zijn.
Ik denk dat 99.99999% van de mensen in die situatie niet eens twijfelen over wat de juiste keuze is
De juiste keuze is rechtsomkeerts naar huis en bij je ANVG/SGR aangesloten reisorganisatie terug claimen.

Het gaat er niet om of die ene medewerker achter de balie te vertrouwen is of niet. Het gaat er om dat de kopie die ze maken, ongetwijfeld zonder watermerk en zonder afdekking van zaken als BSN, makkelijk binnen de hele organisatie die toegang tot de opslag ervan heeft, een eigen leventje kan gaan leiden.

En dat gebeurt dus zeker niet alleen in verwegistan. Maar ook gewoon in westerse landen bij westerse hotelketens. Het aantal schandalen in zake uitgelekte reizigersgegevens alleen al bij grote Amerikaanse ketens, is wss. niet meer op handen te tellen.

[Reactie gewijzigd door R4gnax op 25 januari 2021 19:44]

Tja, de juiste keuze... De juiste keuze is ook om een fietshelm te dragen tijdens het fietsen, de juiste keuze is ook om nooit door rood te gaan. Het leven staat bol van risico's nemen en een inschatting maken of het risico aanvaardbaar is. Soms loop je dus even langs het randje, maar dat hoort eenmaal bij het leven.

Zoals Oon al zegt is op zo'n moment de juiste keuze om gewoon je paspoort te overhandigen. Het leven is al zo kort, dan ga ik niet principieel lopen doen met mijn paspoort om vervolgens mijn vakantie te vergallen.
+1Anoniem: 1330988
@R4gnax26 januari 2021 00:13
LOL de typische pakketreiziger heeft gesproken. :P Niet iedereen reist met een reisorganisatie. Daarnaast is dat leuk als je in Nederland woont, maar mensen die elders wonen zoals ik hebben daar sowieso geen reet aan. En no way dat jij rechtsomkeert maakt. Dat is heel makkelijk ingetikt op je toetsenbord maar als je een vermoeiende reis achter de rug hebt dan piep je gegarandeerd anders. Dan wil je dat betrekkelijke risico wel nemen in ruil voor een weekje of 2 relaxen. ;)
in diverse buitenlanden (buiten europa) is het dan idd rechts omkeer en terug naar hijs met het eerst volgende vliegtuig.

als je geluk hebt

heb je pech dan staat na een uurtje heibel maken de politie je al op te wachten en mag je een aantal dagen op kosten van jezelf in het staats hotel plaats nemen.

de nederlandse wet steld helemaal niks voor in het buitenland.
als deze regel wel zou gelden daar, dan zouden ook andere regels gelden, zxoals het vrij kunnen kopen van soft drugs.

je hebt je te houden aan de wetten van het land wat je bezoekt.

dit soort zaken dien je vooraf uit te zoeken als je denkt daar bezwaar tegen te hebben
Dergelijke pauperlanden moet je ook niet naar toe gaan
in diverse landen is het hotel wettelijk verplicht om een copy te maken van je paspoort zonder afscherming.

dat wij in nederland een wet hebben dat we het paspoort niet af zouden mogen geven is heel leuk, maar die wet stelt in het buitenland helemaal niets voor.
je dient je te houden aan de lokale wetgeving.

geef je het paspoort niet af, heb je nergens een plek om te slapen.
tenzij het niet uitmaakt om tussen de kakkerlakken te slapen, maar daar kun je geen oog dicht doen omdat ander je spullen gejat worden door het personeel.

allemaal leuk wat wij in nederland verzinnen aan regeltjes, maar het buitenland is daar heel anders in.

daarnaast, wil een buitenlander een visum hebben voor nederland, dan moeten ze het paspoort inleveren, en krijgen ze het tussen de 3 en 15 dagen per post opgestuurd terug.
Eigenlijk moeten we dus concluderen dat dit hele principe op de schop moet. Paspoort nummer zou voldoende moeten zijn.

BSN moet volledig afgescheiden zijn en per definitie nergens op of in(chip) het paspoort aanwezig zijn, dan hebben we ook niet zulke problemen. Alleen onze eigen regering en ik zelf dient het BSN te kennen. Dan mag de overheid zelf in een database die koppeling maken en beheren.
correct.

hele BSN hoort helemaal niet thuis in het paspoort.

maar, het is makkelijker voor de NL staat om het daar in te hebben staan, scheelt ze een database die gehacked kan worden
Ik zeg toch ook niet dat je geen kopie moet afgeven? Kopie geven, met daarop de naam van het etablissement. En natuurlijk het BSN even zwart maken. Ik heb nog niet meegemaakt dat ik mijn paspoort moest afgeven voor iets anders dan een kopie.

Wat ik wel meegemaakt heb is dat ze een paspoort als onderpand wilden. €100 bleek ook prima.
Dan roep je de politie erbij, want volgens de Nederlandse wet hoef je je paspoort alleen aan een bevoegd persoon af te geven en dat is niet een hotel medewerker.
Dan komt de politie, want die hebben niets beters te doen en weten precies hoe de wet in elkaar steekt. En je verblijf wordt echt veel gezelliger, het personeel toeschietelijker. Succes als je WiFi het niet doet.

Dat is het leuke van wetten. Je kunt ze wel maken, alleen betekent het niet dat mensen zich eraan houden. Ze houden meer van hun baan en hun bonus, dan van een lastige klant.
Ik weet niet in wat voor hotels jullie komen, maar ik heb er nog nooit problemen mee gehad. En ik heb ze echt wel een paar keer moeten vertellen dat wij ons paspoort niet mogen afgeven. Misschien laat je je graag piepelen door de eerste de beste, maar wel zeuren over je privacy of gestolen gegevens.
Dan heb je duidelijk alleen in non-dubieuze landen overnacht. Als je in Rusland of zo bent dan heb je geen keuze. Paspoort kopieren of eerstvolgende vlucht naar huis.
Zelfde verhaal als je een visum aanvraagt bij het Amerikaanse consulaat: paspoort 5 dagen inleveren. En dat zal voor veel landen zo werken.
In het geval van het Amerikaanse consulaat is het natuurlijk wel gewoon wettelijk toegestaan om je paspoort af te geven.

[Reactie gewijzigd door emphy op 25 januari 2021 23:23]

Klopt, waarom zou je vrijwillig naar een dubieus land gaan? Al heb ik wel cameraploegen naar dergelijke landen gestuurd, maar die had ik daarvoor voorzien van een tweede paspoort, speciaal visum en vaak lokale begeleiding. Als toerist moet je daar ook niet wezen dan.
Ik heb het zelfs in een hotel in London gehad dat ze een kopie wilden van mn paspoort. Personeel wist niet echt iets over de (nieuwe) regels en volgden alleen hun eigen hotel beleid op.

In andere hotels lieten ze me zelf de BSN noteren op een formulier. Ik schreef dus een willekeurige nummer. Niemand die erom kraaide.
Dan moet ik mij toch echt afvragen of en hoe ver jij in het buitenland komt aangezien die uitspraken niet met de realiteit stroken.

Binnen nederland is het een ander verhaal. Ik heb zelf menig bedrijf en hotel gewezen op de wetgeving waar zij zich in dit (eigen) land aan dienen te houden. Dat inclusief de HR afdeling van het bedrijf waar ik indertijd werkte. Die wilde een volledige kopie van mijn paspoort voor aanmelding bij een of andere cursus. Dat feestje ging niet door (de cursus uiteindelijk wel overigens).
Nee dat werkt lekker in Timboektoe ;).
Mmm inderdaad ja, en in China zal de politie er ook snel bij zijn, maar dan om jou gelijk te deporteren. Zonder gein !
Nog nooit problemen mee gehad, ook niet in Timboektoe.
Je credit card seizoen, daar zijn ze wel erg goed in...
Nou daar zal de politie van een of ander dubieus landje waar men wel eens van Nederland gehoord maar niet precies weet waar het ligt met zekerheid met man en macht uitrukken, stel je voor, de Nederlandse wet wordt overtreden!
Het kan noodzakelijk zijn of op zijn minst niet onredelijk om het originele identiteitsbewijs te laten zien, zodat kan worden vastgesteld dat de gegevens op de kopie die je aanlevert authentiek zijn. Maar het ligt er natuurlijk net aan bij welk hotel en in welk land je een zelfgemaakte kopie laat zien.

[Reactie gewijzigd door sampoo op 26 januari 2021 01:41]

En wat gaat er dan gebeuren denk je?

A: De meldkamer lacht u keihard uit terwijl ze ophangen.

B: De politie komt langs want die hebben zeeën van tijd tussen de coronarellen door:

B.1: U krijgt een gevangenisstraf van ten hoogste drie maanden of geldboete van de derde categorie.

B.2: De politie de-escaleert de boel door u vriendelijk te verzoeken naar een ander hotel te gaan.

B.3: De politie geeft u gelijk:

B.3.I: "Sorry mijnheer; u hoeft uw paspoort niet af te geven maar helaas zitten we nu vol."

B.3.II: "Sorry mijnheer, u hoeft uw paspoort niet af te geven. Wij passen ter plekke onze procedures aan. Welkom! Koffie erbij?"
C Politie kan hier waarschijnlijk niet zo veel mee en zegt: Dit is een civielrechtelijk probleem, geen strafrechtelijk dus neem maar een advocaat in de arm en ga naar de juiste rechtbank.
Dat is uiteindelijk gewoon A, maar dan op de nette manier
En dan ga je op vakantie en dan moet je paspoort afgeven bij hotels. Waarbij sommige het ook niet accepteren als je iets afdekt.
Kwestie van betrouwbare hotels opzoeken. Helemaal bulletproof en waterdicht bestaat uiteraard niet.
Je mag je paspoort niet eens afgeven. Kopietje zonder bsn nummer kunnen ze krijgen.
is nederlandse wet misschien,
werkt in europa miscchien ook

maar daarbuiten, de wet stelt niks voor, je moet je aan de lokale wetgeving houden.
Het mag niet. Maar toch moest ik mijn paspoort op de ambassade van Saudi achterlaten om een visum te krijgen. Niet fijn, toch maar gedaan.
Dat is heel normaal in sommige landen. Probeer maar ergens achteraf in Rusland of zelfs in Oost-Europese landen een hotel te huren zonder een kopie van je paspoort te laten maken.

Of ze het mogen is helemaal niet relevant, als dat je enige optie is om te overnachten binnen 4 uur rijden van waar je je bevindt dan heb je weinig keus
een kopie is iets anders dan je document te moeten afgeven.
Je paspoort afgeven (en pas terugkrijgen als je weer vertrekt) hoeft vrijwel nergens, maar je zult 'm toch echt even bij de balie moeten afgeven zodat ze een kopie kunnen maken. Een eigen meegenomen kopie accepteren ze vaak ook niet, omdat ze (wettelijk) verplicht zijn zelf een kopie te maken van het origineel
Dat werd vroeger nogal eens gedaan, net als rijbewijs inleveren bij autohuur, maar maak ik nu echt nergens meer mee. Volgens mij snapt iedereen wel inmiddels dat dit een totale no-go is. Daarnaast kan je dan wellicht ook niet meer aan je identificatieplicht voldoen dus praktisch compleet ommogelijk.
Rijbewijs inleveren bij autohuur lijkt me inderdaad niet slim, want dan mag je helemaal geen auto rijden (ook al heb je nog een ID-kaart).

Ik weet dat bijv. Duinrell wel nog toestaat dat je een ID-kaart of rijbewijs achterlaat als je met een extra auto het terrein op gaat om in te laden, daar krijg je dan netjes een bonnetje voor en bij het uitrijden wissel je die weer in. Het is privéterrein dus rijden zonder rijbewijs zou daar wel mogen (met toestemming), maar ik zou toch altijd mijn ID inleveren omdat mijn rijbewijs belangrijker is. Dat is ook in Nederland, dus ze hebben gewoon AVG-plichten, al stond er nergens een ISO certificering vermeld dus wie weet wat hun processen zijn nadat ze je ID-kaart aannemen.

Maar hoe dan ook, ik ben het er volledig mee eens dat het riskant is om (zeker in het buitenland) een identificatiebewijs aan iemand te overhandigen, maar soms heb je gewoon geen keuze. Ze vagen vaak bewust om zo'n document juist omdat het zo riskant/belangrijk is en ze zeker willen weten dat jij je gedraagt, en er is een kans dat daar misbruik van gemaakt wordt.

Het voordeel dat wij als Nederlander hebben is dat vrijwel nergens om een BSN als enige identificatie gevraagd wordt, zelfs met je fysieke ID-kaart in handen moet je alsnog met je DigiD inloggen of wordt je pasfoto gecontroleerd. Het probleem lijkt mij veel erger voor bijvoorbeeld Amerikanen, die hun SSN af moeten geven aan allerlei bedrijven en instanties ter identificatie waar vaak heel slecht op gecontroleerd wordt.
net daarom dat ik zeg dat het een red flag is ;) ik heb in thailand genoeg verhalen te horen gekregen en 1x meegemaakt dat ze een visum wilden bijhouden, waardoor je het land niet meer zou kunnen verlaten
Yup, in Rusland geld als ik me niet vergis (net zoals in mijn andere post in China) een registratieplicht voor de hotels. En zo zijn er nog diverse landen meer.
Dat soort landen kent jou overigens toch al binnenste buiten dus je paspoort achter proberen te houdem levert je niets anders dan problemen en geen voordelen.
Er moet toch ook gewoon registratie zijn welke medewerker welk dossier heeft geopend?
Dan kan je diegene gewoon oppakken, klaar.
Nee, niet klaar: want gelekt is gelekt. Dat is juist de ellende met dit soort dingen. De impact van dit soort illegale datahandel is in potentie enorm. Je krijgt die geest niet meer in de fles.

Uiteraard nog los van de vraag of de logging die je aanhaalt er wel is.
Kunnen de personen waarvan het BSN nummer gelekt is niet gewoon een nieuw BSN nummer krijgen? Dat je een database bouwt met 'gelekte BSN nummers' zoals die ook met wachtwoorden bestaat en alle mensen die daar in staan een nieuw BSN nummer stuurt?
Dat zal vast een stuk lastiger zijn dan verwacht. Het BSN-nummer zal in diverse systemen gebruikt worden, waarvan in diverse gevallen waarschijnlijk geen weet is. Wellicht is het ook nog in tal van niet-digitale papieren verwerkt.

Als het eenvoudig was, zou ik als ZZP-er een tijdje geleden al een nieuw BSN-nummer gekregen hebben.
Dit werd voorheen altijd gebruikt voor het BTW-nummer. In plaats daarvan kreeg je een nieuw BTW-nummer.
8)7 8)7
Superdom natuurlijk, want je oude BTW-nummer is al jarenlang verspreid.
Die is al in minstens tientallen databases terug te vinden.
Het is heel lastig, want het BSN is nooit ontworpen om te kunnen veranderen. Het is juist bedoeld om iemand uniek te kunnen identificeren. Toen het werd bedacht, heette het nog sofinummer. Het werd toen alleen gebruikt door werkgevers om bij de belastingdienst aangifte te doen van het inkomen van werknemers. Dat is niet zo fraudegevoelig, dus destijds was een eenmalig uitgegeven uniek nummer veilig genoeg.

Het is pas fout gegaan toen iemand (vast een manager, die hebben altijd van die idiote ideeen) bedacht heeft dat aangezien alle Nederlanders toch al een uniek sofi-nummer hadden, dit nummer ook prima gebruikt kan worden als identificatie bij overheids- en medische instellingen. Met andere woorden, het nummer dat eerder al bestond en afdoende veilig werd geacht, werd opeens voor heel andere dingen gebruikt. Waardoor je nu de tegenstelling hebt dat een BSN wel op een id-bewijs moet staan, want anders kun je jezelf niet identificeren bij een medische of overheidsinstelling, maar het moet ook geheim blijven, want je kunt het gebruiken om je voor te doen als iemand anders.

Als men destijds nu maar had bedacht dat zo'n nummer erg gevoelig was voor fraude en daarom moet worden losgekoppeld (een sofinummer dat niet fraudegevoelig is en dus gewoon op een id-kaart kan staan, en een ander, niet herleidbaar nummer, dat gebruikt kan worden bij instellingen en dat NIET op een id-kaart staat maar op een geheim document). Maar ja, managers denken alleen in happyday-scenario's en testers worden in zo'n vroeg stadium nooit betrokken... Dat leidt tot ellende...

Als het BSN nu zou moeten worden vervangen, dan leidt dat tot een heleboel ellende, want de GBA zal alle voorgaande BSN's ook moeten onthouden, maar met een merkje dat deze ongeldig zijn. Eindresultaat zal zijn dat een BSN niet meer uniek is, want overal waar handmatige acties worden ondernomen, worden ook fouten gemaakt. En dus krijg je nog veel meer gevallen van (wellicht onbedoelde) identiteitsfraude.
Je bent zelf een manager.
Ik heb de originele brief nog, uit 1985 :) Het heette overigens toen nog 'fiscaal nummer', sofi-nummer / sociaal-fiscaal nummer is het pas later gaan heten.

In de brief staat onder andere:
Bent u in loondienst of hebt u een uitkering dan bent u verplicht uw fiscaal nummer aan uw werkgever of uitkeringsinstantie mee te delen als:
‐ uw werkgever of uitkeringsinstantie daarom verzoekt;
‐ u een loonbelastingverklaring moet invullen.
Kortom, ik vat dit op als een (daadwerkelijk) fiscaal nummer, een nummer voor de fiscus. Inkomstenbelasting is de moeder der belastingen. Uitkeringen zijn ook vaak gebaseerd op wat je ooit verdiende, wat anderen in je huishouden verdienen, etc.

Hoewel dit niet in de brief staat, kon je vanaf dag één wel aan zien komen dat zo'n nummer niet alleen gebruikt zou gaan worden voor alleen loonbelasting. Maar je voert zoiets niet in één dag in of zo, dus logisch dat ze dat eerst op één vlak tegelijk gingen doen en later uitbreidden.

Overigens een prima idee, want het zou er echt niet beter op zijn geworden als je voor elke overheidsdienst, voor elke fysiotherapeut, ziekenhuis, zorgverzekeraar-overstap, etc etc weer een eigen, uniek nummer zou moeten gebruiken..
Het werd toen alleen gebruikt door werkgevers om bij de belastingdienst aangifte te doen van het inkomen van werknemers. Dat is niet zo fraudegevoelig, dus destijds was een eenmalig uitgegeven uniek nummer veilig genoeg.
Ik begrijp sowieso niet waarom het toen veilig genoeg zou en en nu niet meer, of het nou exclusief voor loonregistratie wordt gebruikt of niet: Een nummer wat je krijgt in een brief kan nooit genoeg zijn om iemand te identificeren.

In feite is het dan niets anders dan een wachtwoord.

Zo'n wachtwoord echt geheimhouden tijdens een mensenleven is onmogelijk. Pre-computertijdperk jaren tachtig, waar het bijvoorbeeld in mijn geval binnen een paar jaar bij allerlei uitzendburo's, scholen, werkgevers etc terecht kwam alleen al betekende dat tientallen mensen er bij konden. Dus ja, men had vanaf dag 1 kunnen weten dat deze nummers vroeg of laat zouden uitlekken. En dus dat ze ook vervangbaar moesten zijn, juist als je ze als een soort wachtwoord wil gebruiken.


Maar aangezien zo'n nummer sowieso niet te beveiligen is, is dat een slecht idee. Dan kun je nog beter het nummer alleen accepteren in combinatie met een officieel document: Dat paspoort of ID-kaart wordt dan de nieuwe zwakste schakel… Niet ideaal, maar bijvoorbeeld biometrische identificatie willen 'we' óók niet.

Kortom een nieuw BSN lost niets op, want dat is niet de zwakke schakel bij het identificeren.

Dat identiteitsfraude mogelijk is met BSN's, betekent dat het systeem van identificeren niet waterdicht is. Dát moet beter. Een unieke identifier zou op zich geen waarde mogen hebben, net zo min als bijvoorbeeld een kenteken, bankrekeningnummer, telefoonnummer of huisadres.

[Reactie gewijzigd door laptopleon op 25 januari 2021 23:37]

Ik begrijp sowieso niet waarom het toen veilig genoeg zou en en nu niet meer, of het nou exclusief voor loonregistratie wordt gebruikt of niet: Een nummer wat je krijgt in een brief kan nooit genoeg zijn om iemand te identificeren.
Niet veilig, maar ook niet fraudegevoelig. Een werkgever zou het kunnen gebruiken om inkomen aan te geven bij de belastingdienst dat niet jouw inkomen is, maar wat schiet hij daarmee op?
Dat identiteitsfraude mogelijk is met BSN's, betekent dat het systeem van identificeren niet waterdicht is. Dát moet beter. Een unieke identifier zou op zich geen waarde mogen hebben, net zo min als bijvoorbeeld een kenteken, bankrekeningnummer, telefoonnummer of huisadres.
Precies. Geen enkele instantie zou alleen een BSN moeten gebruiken als identificatie van een persoon. Gebruik dan bijvoorbeeld het documentnummer op je ID-kaart. Ook niet veilig, maar wel vervangbaar. Maar ja, ga dat maar eens uitleggen aan verhuurders, telefoonmaatschappijen, hotels etc.
Inderdaad, in alle notariële documenten wordt de BSN niet eens gebruikt, als het om identificatie gaat. Dat zijn altijd ID nummers.

Het gaat bijvoorbeeld fout als bijvoorbeeld ziekenhuizen je zorgpas accepteren als identificatie (daar staat volgens mij ook je BSN op), omdat dat voor hun het enige belangrijke is om je op te nemen in de registratie.

Maar ergens moet je een lijn trekken qua vertrouwen, en er zullen altijd misdadigers zijn die misbruik maken van een vertrouwen.
[…] Niet veilig, maar ook niet fraudegevoelig. Een werkgever zou het kunnen gebruiken om inkomen aan te geven bij de belastingdienst dat niet jouw inkomen is, maar wat schiet hij daarmee op?
Nu onderschat je het creatief vermogen van fraudeurs. Dat een werkgever er niets mee opschiet, wil niet zeggen dat een ander er niets mee opschiet…

Voorbeeld: Een voormalig, tijdelijk werknemer stuurt een bericht dat hij weer / nog bij die werkgever werkt en verlengt en verhoogd op die manier zijn recht op ww of pensioen. Dat kan aardig in de papieren lopen.

En dat is alleen nog maar wat ik kan bedenken, binnen 10 seconden. Iemand die hier meer vanaf weet, kan waarschijnlijk nog wel betere trucs bedenken.

[...]
Precies. Geen enkele instantie zou alleen een BSN moeten gebruiken als identificatie van een persoon. Gebruik dan bijvoorbeeld het documentnummer op je ID-kaart. Ook niet veilig, maar wel vervangbaar.
We blijven nu terugkeren naar dat al dan niet vervangbaar zijn, maar dat is niet waar het om gaat. Je zal toch een id-nummer moeten hebben en het maakt dan weinig uit welke je neemt.

Eigenlijk hoeft het helemaal niet vervangbaar te zijn. Dat lost het feitelijke probleem niet op, het systeem van identificatie dat nu domweg veel te fraudegevoelig is.
Maar ja, ga dat maar eens uitleggen aan verhuurders, telefoonmaatschappijen, hotels etc.
Daar ligt het eigenlijk ook niet aan: Die proberen gewoon te doen wat de regels van ze vragen.

Beter zou zijn, bijvoorbeeld een aparte pagina in id-bewijzen op te nemen met alleen de gegevens, die een hotel, uitzendburo etc mag vragen.

Veel beter zou zijn, dat het BSN op zich gewoon nergens bruikbaar voor zou zijn, zonder een 'degelijke' identificatie. Net zoals banken nu een bevestiging eisen via een versleutelde app, op één, vooraf bepaald apparaat, met een wachtwoord / vingerafdruk / gezichtsherkenning vanaf dat apparaat.
let wel,

dit geld alleen maar daar waar de nederlandse wet van toepassing is.

overal waar die wet niet van toepassing is ( alle andere landcen op de wereld) zullen hun eigen regelgeving hanteren.

die trekken zich over het algemaan heel weinig aan wat je in nederland wel en niet mag.
hebben niiks met avg te maken, niks privacy, en allerlei andere zaken.

nederland is just a speck of dust on the map.

meer niet.

kan je het europees regelen dan schiet je al wat meer op, maar daarbuiten, je hebt je te houden aan de lokale wetten.
wil je dat niet, dan moet je daar niet naartoe gaan.

de wereld is groter dan alleen NL, leuk dat we hier wat verzinnen maar de rest verzint andere dingen.
Een nieuwe BSN krijgen is niet een simpele handeling. Dit werkt door in alle overheids systemen, medische systemen etc.
Dan ben ik eigenlijk wel benieuwd hoe het werkt als je de geboorte van je kind aangeeft. Die heeft ook binnen een mum van tijd een nummertje en is dan in allerlei systemen bekend. Insert kan wel, update niet?
Het probleem is dat er niet een centrale database is, het zijn er onnoemlijk veel en die zijn ook allemaal niet aan elkaar gekoppeld. Een deel wel, zoals de gemeentelijke basisadministratie, en vanuit daar wordt het verstuurd naar diverse systemen. Het BSN wordt daarbij gebruikt als unieke identifier. Jij bent dat nummer.

Een nieuw record is geen punt, dat voeg je gewoon toe als het er nog niet in staat. Bij veel instanties geef je zelf je BSN of typt een medewerker het over vanaf een paspoort of formulier. Of een andere instantie heeft dat heel handig doorgegeven.

Als je dat nummer zou willen wijzigen, dan moet dat in al die systemen en dat gaat dus niet centraal. Dan zou je moeten nagaan wie het nummer allemaal direct of indirect gekregen heeft, en die allemaal het nummer moeten laten aanpassen. Het wordt helemaal leuk als de instantie niet een centrale database heeft waar iedereen op werkt, maar men een export naar bijvoorbeeld Excel maakt die weer wordt gedeeld of doorgestuurd, veranderd en weer verder doorgestuurd. Veel succes om dát dan nog te veranderen... voor elke instantie... voor iedereen die een nieuw BSN wil...

[Reactie gewijzigd door ari op 25 januari 2021 21:51]

Ik begrijp wel dat de praktijk weerbarstig is, maar eigenlijk zijn dit allemaal hele slechte excuses natuurlijk.

Als zo'n nummer zo belangrijk is, mag je ook verwachten dat al die instanties controleren (tegen de landelijke database) of het überhaupt wel klopt, in plaats van dat het even opgeschreven en doorgegeven wordt of zo.

En een niet-centraal systeem met Excel sheets die doorgestuurd worden.. Wat is dat nou voor systeem, van een lokale ijsvereniging pre-internet of zo? Dat kan echt niet. Past toch ook totaal niet meer in de privacy-regels van de laatst jaren?
Ik stel alleen hoe het gaat, niet dat ik het er mee eens ben. Er zijn wel meer principes waar ik blij van zou worden, zoals dat je bij een overheidsinstantie nooit meer een gegeven zou moeten intypen dat een overheidsinstantie al van je heeft. Ik ben even kwijt welk land dat gedaan had. Ik denk in de richting van Estland, maar ben daar niet zeker van.

Er zijn ook wel meer dingen die privacy-technisch niet helemaal of helemaal niet de bedoeling zijn, maar die vanwege praktische redenen wel gebeuren. Dingen zoals "if it ain't broke, don't fix it" en antieke systemen die niet ingericht zijn om op een andere manier te werken. Hoe lang heeft de overheid ook alweer extra ondersteuning voor XP moeten aankopen omdat ze de migratie niet op tijd voor elkaar kregen?
Estland is inderdaad al heel ver in die dingen, lees je regelmatig iets over.

Overheid en IT loopt nogal stroef, ja. Ik zou dat heel anders aanpakken. Een eigen dienst van IT'er opzetten om te beginnen, want nu worden ze keer op keer voor gek gezet door de CapGemini's van deze wereld, omdat de overheden zelf veel te weinig kennis en ervaring hebben. En dat uit zich niet alleen in kreupele systemen maar ook in achterblijven op gebied van identificatie, ja.
success met alle instanties daarover inlichten. vooral nadat alle systemen zijn gebouwt op een niet flexibel bsn nummer.
We hebben toch allemaal mooie electronische digiD's tegenwoordig, hoe moeilijk kan het zijn dat op een of andere manier flexibel te koppelen.
Volgensmij heb ik gewoon digid nodig om we uitslag van mijn corona test op te vragen, waarom zou digid niet in al die andere systemen die fraude gevoelig zijn als soort van wachtwoord bij de gebruikersnaam BSN ingebouwd kunnen worden.
Precies. En als ik de waslijst aan nieuw toegevoegde instanties zie, elke keer als ik digID weer eens open, dan gaat het ook die kant op.
Ik ben het met je eens, maar hoe wil je dit anders doen?

Het verdienmodel gaat wel onderuit als je pakkans omhoog gaat.
Dan is de schade al gedaan. Ze hebben nu ook de mensen opgepakt maar de gegevens zijn al wel in de handel.
Zou de schade net zo groot zijn als je een grote pakkans hebt?
Die hebben ze vanavond opgepakt. Waren 2 personen via een uitzendbureau. Als een organisatie dermate slordig met vertrouwelijke gegevens om laat gaan vermoed en hoop ik dat hier een strafrechtelijk onderzoek naar wordt gedaan
Zijn vaak meerdere mensen, omdat ernaar wordt gekeken wanneer je voor het eerst opbelt, wanneer je getest bent, wanneer het testresultaat wordt ingevoerd en wanneer je opgebeld wordt.
Klaar als in een mogelijke erdachte gevonden te hebben ja.
Klaar als in voorkomen dat de gegevens gedeeld worden, nee.

Niet helemaal klaar dus. Ook met de opgepakte personen is de kans groot dat eventueel gedeelde/verkochte gegevens gewoon blijven bestaan (of zelfs vaker gedeeld worden).
Eens, niet helemaal klaar, maar een extra inkomen verdienen door elke 10 mensen op te zoeken tegen betaling is wel klaar. Het verdienmodel valt dan weg.
Weet nog goed dat ik belde vorig jaar met de GGD, en vroeg, wat is de grondslag om een "NEGATIEVE" test 5 jaar vast te houden.. "procedure" amahoela..
Kan iemand mij uitleggen of Belgie ook zoiets heeft als een BSN? Is dat zoals het rijksregisternummer? (want dat laatste moet je zeer frequent meedelen met allerlei partijen).
Het is een databank en dan heb je een unieke identificatie nodig: BSN. Ook omdat je goed wil registreren dat de juiste persoon z'n 2e shot krijgt en niet iemand met toevallig dezelfde voor- en achternaam. Met bruteforcen en hashen heeft het allemaal niks te maken. We hebben het hier gewoon over omgekochte medewerkers en doorgegeven login + wachtwoord.

Wat ze moeten regelen is dat gegevens alleen maar kunnen worden opgevraagd als degene waarom het gaat z'n toestemming geeft. Dat zou toch moeten kunnen met DigiD of iDIN.
Ik ben het met je eens. Maar hoe regel je een dergelijke autorisatie per telefoon?
Er is best een hoop te doen. Het gros van de callcentermedewerkers zal afspraken inplannen. Die hoeven geen bestaande afspraken in te kunnen zien. Adresgegevens hoeven ze ook niet te zien, een postcode (zonder cijfers) volstaat.

Voor het wijzigen van afspraken kun je een aparte menu optie maken, zodat je daar een kleinere pool mensen op zit met meer rechten.

Bij een controle van adresgegevens zou je ook kunnen doen dat de beller de postcode + nummer geeft, en dat het systeem toont of het een match is. Het systeem hoeft de gegevens niet te tonen.
Of gewoon een unieke code specifiek voor jouw afspraak, een soort reserveringsnummer. Wil je de afspraak verzetten? Gebruik die code. Resultaat weten? Code.
Persoonsgegevens zijn dan helemaal niet nodig om in te zien voor de callcentermedewerker.
Of registratie op Polisnummer Ziektekostenverzekering in combinatie PC en huisnummer,
Ik denk dat dit buiten de verzekering om gaat, andere tests die de GGD aanbiedt gaan ook niet langs huisarts en/of verzekering, of dit wordt expliciet gevraagd.
Met een goed audit trail (= logging) kun je naar een pakkans van vrijwel 100%. Dat moet toch ontmoedigen..

Wanneer je ervoor zorgt dat wat routinematig nodig is niet samen op het scherm staat met gevoelige info (zoals BSN) die dat niet is, dan zijn bijzondere handelingspatronen ook nog 'ns gemakkelijk te detecteren.

Wil je bijv. van iemand de laatste drie cijfers van het BSN controleren, dan hoef je het BSN nooit te tonen. De medewerker kan de gegeven cijfers invoeren en juist / onjuist terugkrijgen..
Dan nog. Een audit trail is altijd goed, maar het is als fout gegaan voordat je het kunt constateren. En als criminelen genoeg bieden houdt je dat niet tegen met een logfile.
Klopt maar dat geld voor medewerkers van overheidsinstanties ook. Die kunnen ook bij heel veel data.
- BSN nummers en overige privé info afschermen voor medewerkers die niet toegang hoeven te hebben tot die accounts
- Check inbouwen voordat medewerkers bij info kunnen
- Al het gebruik van medewerkers loggen en bijzonder gedrag automatisch detecteren (per ontvangen telefoontje zou er 1, hooguit 2 personen moeten worden bekeken. 3 of 4 zou al een red-flag moeten zijn)
- Zero mogelijkheid tot exporteren van grotere hoeveelheden data

Vier essentiële features die het gebruik voor eerlijke medewerkers niet lastiger maken. En als Peter R. toevallig die medewerker aan de telefoon krijgt die even zijn 06 opschrijft.. dat kan je niet afdekken - maar wel als het goed is deels terug traceren naar de (waarschijnlijke) medewerker.
tja... als je weet dat dit soort handel plaatsvind, kan je je systemen en processen hierop inrichten, maar ik vermoed dat de makers dit niet hadden verwacht. Dat in combinatie met teveel (politieke) druk om snel een systeem te bouwen met voldoende schaalbaarheid.

Een eenvoudige maatregel is om bij het weergeven van personen het eerste deel van het van het bsn te maskeren. (en verder natuurlijk database encryptie, beperken van rechten en actieve monitoring)

het "pakken" van it soort gasten is lastig, want hoe onderscheid je het moedwillig veelvuldig opzoeken van snel/slordig werken met veel tiepfouten
Je kunt in ieder geval een alarmbelletje laten rinkelen bij excessen. Een vriendin van mij werkt bij de GGD en spreekt naar eigen zeggen op een goede dag 150 mensen. Iemand die bizar slordig en snel werkt heeft aan het einde van de dag misschien 250 mensen opgezocht in het systeem. Hier worden kennelijk datasets met tienduizenden records verkocht. Dus daar had al een belletje af moeten gaan. Verder kun je natuurlijk nog tientallen van dat soort triggers inbouwen. Te snel te veel geraadpleegd, te weinig geografische spreiding, te weinig leeftijdsspreiding, etc etc.
Sterker nog, ik wed dat hier kant-en-klare software-bibliotheekjes voor bestaan, want dit probleem speelt wereldwijd bij zo'n beetje elke klanten-database van elke organisatie. Elk ziekenhuis, elke politie-organisatie, uitkeringsinstantie, gemeente, verzekeraar, afijn…

Dus ja, ik het wél vreemd dat hier intussen niet aan gedacht is, want na 9 maanden zijn corona-testen niet bepaald een verrassing meer.
Ik vrees dat die enorme (tijds)druk mede inderdaad een deel van het probleem is in dit geval.
Het systeem zo maken dat jij een mail krijgt als persoon x jou gegevens opvraagd?
Dat mag niet. Persoon X heeft ook recht op privacy op de werkvloer. Dat mag hoogstens richting een paar medewerkers van de werkgever worden gestuurd, en zelfs dan moet je uitkijken.
Dat mag niet. Persoon X heeft ook recht op privacy op de werkvloer. Dat mag hoogstens richting een paar medewerkers van de werkgever worden gestuurd, en zelfs dan moet je uitkijken.
Hoezo mag dat niet? De betrokkene is en blijft eigenaar van zijn of haar gegevens en in een overeenkomst kan makkelijk vastgelegd worden dat gebruik van die gegevens onderhevig is aan on-demand verlening van toestemming.

Hierbij hoef jij als betrokkene niet persè te zien dat "persoon X" binnen de organisatie jouw gegevens wil opvragen. Jij hoeft enkel te zien welke afdeling gegevens over jou wil opvragen; welke gegevens dat zijn; en voor welk doeleinde ze opgevraagd worden. Alle drie zaken waar geen privacy van medewerkers mee gemoeid is.

[Reactie gewijzigd door R4gnax op 25 januari 2021 19:59]

Ik denk dat je dutchdaun verkeerd begrijpt.

Ik zou graag een emailtje ontvangen als iemand bij de overheid, gemeente, belastingdienst maar ook coronadata van mij opvraagt, in mijn dossier kijkt.
En met een beetje pech wordt het systeem voor de goede medewerkers lastiger te gebruiken. Beveiliging en gebruiksvriendelijkheid staan elkaar normaliter vaak in de weg.
Dat klopt. Als iedere transactie substantieel langer duurt zijn er weer andere problemen. Dan kan er weer minder getest worden bijvoorbeeld.
Ze hadden ook niet iedereen op alles rechten moeten geven. Regel nr. 1 bij rechten beheer.
De vraag is denk ik meer waarom iedereen een export kan maken van de data in het systeem. Dat is toch makkelijk af te schermen? En dan een audit trail voor de mensen die dat wel kunnen en zogauw iemand een export maakt van alle gegevens direct een risico vlag zetten.

Maar mogelijk denk ik er te makkelijk over en blijkt dat systeem wat ze gebruiken gewoon een access database of excelsheet met een vbscript GUI te zijn...
Dat iedereen te koop zou zijn is natuurlijk onzin. Daarbij is het incasseren van de geldsom en ermee wegkomen ook niet zo'n uitgemaakte zaak. Het zal vooral gaan om personen die met dit doel hebben gesolliciteerd bij de GGD of personen die in een benaderde financiële situatie zaten en zich hebben laten verleiden.
Nouja, waarom zou je toestaan om zoveel gegevens op te vragen? En zijn alle gegevens relevant om op te vragen. Wat moet een ggd medewerker met mijn bsn bijvoorbeeld? Mijn naam en telefoonnummer zijn toch voldoende om te kunnen bellen?
+1Anoniem: 455617
@K-aroq26 januari 2021 04:44
Ook tegen corrupte medewerkers kun je beveiligen. Dat kan op een hele reeks manieren, zoals:
  • Niet meer gegevens opslaan dan absoluut noodzakelijk. Een BSN is hier een goed voorbeeld van. Dat is maar heel zelden echt absoluut noodzakelijk. Nagenoeg altijd is een hash hiervan voldoende.
  • Medewerkers niet meer toegang geven dan absoluut noodzakelijk voor het uitvoeren van hun taak. Dat gebeurt vaak nog bij lange na niet streng genoeg.
  • Monitoren van (excessief) opvragen van gegevens. Ook indien medewerkers bepaalde gegevens nodig hebben voor het uitvoeren van hun taak dan betekent dat geen carte blanche dat ze die gegevens van iedereen in de database mogen opzoeken.
  • Systeembeheerders geen toegang geven tot decrypted data. Alleen wanneer dat absoluut noodzakelijk is moet je daar van afwijken, en ook dan alleen onder supervisie van onafhankelijk data security officers.
En natuurlijk dat het idioot is om een gebruikersnaam (BSN) tevens als wachtwoord te gebruiken...
Bijzonder dat dit een onbekend fenomeen was voor de GGD. Het is al langer bekend dat callcenter medewerkers in persoonsgegevens handelen, zoals ook eerder door RTL Nieuws naar buiten werd gebracht.
Het geeft gewoon aan dat er simpelweg niets met beveiliging is gedaan of ook maar iets van eerdere incidenten is geleerd. Als deze programma's ontwikkeld waren met Privacy by design of zelfs secure-by-design dan was dit niet gebeurd.

Het is ook niet zo dat dit zich beperkt tot de GGD:
nieuws: RIVM zet infectieradar.nl op waar mensen mogelijke coronasymptomen ku...
nieuws: Datalek in Infectieradar maakte achterhalen van coronasymptomen mogelijk
nieuws: RIVM werkt aan nieuwe versie van Infectieradar en begint onderzoek

Maar zoals altijd is het paniekvoetbal geweest.

Wat ik mij dan altijd afvraag: Wie is er hiervoor verantwoordelijk en wat voor straf wordt deze personen opgelegd? Ook zou ik graag ook willen weten hoelang de mensen die deze gegevens hebben verkocht de cel in gaan? Want ik heb een vermoeden dat iedereen daar weer hun kop in het zand steekt..

Dus nu is het simpelweg weer afwachten tot het volgende fiasco. Er wordt helemaal niets mee gedaan lijkt het..
Tja, de andere kant is dat iedereen in NL maandenlang klaagde dat de GGD zijn zaakjes niet op orde had en dat allemaal het sneller moest.

Ik praat niet goed wat er hier technisch misschien allemaal mis is gedaan, maar gemeenten en GGD's kregen vorig jaar vanuit de centrale overheid een heleboel Corona taken over de schutting geworpen en moesten het maar oplossen. Dat is een duivels dilemma en op voorhand een garantie voor problemen.
Je kunt prima in een week tijd een database in elkaar knutselen zodat men aan de slag kan en de veiligheid daarbij even van ondergeschikt belang maken, maar daarna hadden ze ondertussen al bijna een jaar waar ze de technical debt in op hadden kunnen lossen.

Het zou schelen als beveiliging, permissies en logging niet meer in de applicatielaag geïmplementeerd hoeft te worden maar een onderdeel van de database is. De meeste NoSQL databases ondersteunen dit ook op een of andere manier, al weet ik niet hoe het precies zit met voorkomen dat één persoon duizenden verzoeken doet (terwijl het er normaal maar bijvoorbeeld een tiental per dag hoeven zijn).

Ik weet niet hoe de databases van het systeem uit het nieuwsbericht zijn opgezet, maar ergens vorig jaar waren er problemen met datainvoer (of misschien rapportage?) omdat het maximum aantal rijen/kolommen/sheets(?) in een Excel bestand was bereikt. Goede oplossing voor de eerste week of maand, niet zo goed voor lange duur.
Tuurlijk kan dat vanuit technisch perspectief zonder al te veel invloeden van buitenaf. Maar je hebt het hier niet over een greenfield omgeving, maar over vele verschillende organisaties met elk een eigen werkwijze, daarnaast nog enorme politieke druk en vrijwel wekelijks wijzigende regels die moeten worden meegenomen. En dan wordt het toch echt een ander verhaal. Dan helpen al die mooie modellen om software te ontwikkelen (maakt niet uit welke er gebruikt worden cq. in de mode zijn) hooguit maar een beetje hoor....
Wat ik mij dan altijd afvraag: Wie is er hiervoor verantwoordelijk
In beginsel de persoon die de gegevens gelekt/verkocht heeft natuurlijk. Even los van de brakke implementatie en het slechte ontwerp, de dader is verantwoordelijk.
Desalniettemin vraag ik me ook af of er wel iets van een privacy impact asessment en security audit is gedaan
De dader is verantwoordelijk, ja, maar als het er op aan komt, gaan andere betrokkenen vaak ook niet vrijuit. Rechters kijken ook anders naar een zaak waarbij een bedrijf nauwelijks iets aan beveiliging heeft gedaan, kijken naar de sociale gevolgen, minder dan de financiële.
Net vernomen van iemand die ik ken (en claimt voor de testlijn te hebben gewerkt) heeft zojuist bevestigt dat de gegevens van ook niet-geteste personen voor het oprapen liggen. Zeer ernstig wat mij betreft.
Heb ook een tijdje gewerkt voor de testlijn, je kon gewoon iedere naam invullen en alle gegevens krijgen. Nu heb ik alleen m'n eigen gegevens geprobeerd en die van een familielid die z'n uitslag sneller wilde weten (I know, ook tegen de regels maar goed). Maar achteraf hoor ik dat oud-collega's gewoon BN'ers op hebben gezocht etc.
Als je nog niet getest bent kan je dus ook de pineut zijn:
Je vult gewoon een naam (of achternaam) in, het liefst icm met woonplaats en alle gegevens worden automatisch ingevuld vanuit het BRP. Als je nog niet getest bent "staan ze officieel nog niet geregistreerd" maar met één druk op de knop importeer je deze, dus heb je wel gewoon toegang. Het is gelinkt aan de BRP dus iedereen die ingeschreven staat bij de gemeente kan worden opgezocht.
-----
Denk niet direct dat het gekoppeld is aan DigiD, dat verliep via een ander systeem. Het is meer kwalijk dat callcenter medewerkers gewoon iedere burger op kan zoeken. Had een stuk beter gekund door de beller bijv. zijn BSN in te laten vullen via de telefoon, en de medewerker alleen toegang te geven tot deze persoon. Of gewoon geen zoekmogelijkheid op naam/adres, alleen op BSN

[Reactie gewijzigd door AnonymousWP op 25 januari 2021 17:34]

Dus wat je eigenlijk zegt is dat de hele BRP op deze manier open ligt... Dat lijkt mij zelfs nog VEEL en VEEL erger..
Wat ik van hem begrijp wel ja. Iemand anders die ik ken zegt ook met zelfde soort software te hebben gewerkt:
CoronIT en HpZone zijn software pakketten die er al verouderd uitzagen toen we het jaar 2000 in gingen.
Misschien zou je dat ook aan die journalist van RTL (of meteen aan de AP) kunnen melden. Dat zou nog een veel groter schandaal zijn, als het waar is.
Als je het mij vraagt zouden gegevens enkel zichtbaar mogen zijn na het invullen van een juiste combinatie tussen bijvoorbeeld geboortedatum en BSN. Met enkel een BSN nummer zou technisch gezien vaak nog een scriptje kunnen maken.
Bij de overheid zijn een heleboel dingen zichtbaar voor andere medewerkers. Sommigen diensten gaan er van uit dat een eed laten afnemen door ambtenaren voldoende is. Maar je moet natuurlijk enkel data toewijzen wanneer je dit nodig acht.

Doordat de overheid zo lomp is, wordt niet overal goed over nagedacht, Ook op het gebied van software niet. Dingen die voor ons logisch zijn, kunnen bij instanties niet omdat het extra geld kost.

[Reactie gewijzigd door Bliksem B op 25 januari 2021 23:54]

Dit kan alleen als de persoon ook daadwerkelijk heeft gebeld om een afspraak te maken, maar uiteindelijk toch niet gedaan heeft. Dus niet als iemand nog nooit contact heeft gezocht (dus dossier is aangemaakt) om te testen.
Wat ik nu eigenlijk mis is of er onderzoek gedaan word naar wie zijn gegevens al gelekt zijn? Dacht dat de AVG best wel strikt stelde dat als persoonlijke informatie van een persoon gestolen is dat die op de hoogte gesteld moet worden? Altans heb 2 keer het formulier moeten invullen en daar word de vraag gesteld of je de slachtoffers al op de hoogte hebt gebracht ja of nee.
Zou het best wel graag willen weten namelijk als mijn gegevens als BSN is doorgespeeld
Je moet een datalek altijd onderzoeken en registeren. Je hoeft echter niet alle datalekken te melden aan de AP en/of betrokkene. De AVG eist dat organisaties een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van natuurlijke personen’. De lat om de betrokken personen te informeren legt nog iets hoger. Die hoef je alleen te informeren als er sprake is van een 'hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen'.

Dus (1) altijd intern registreren/documenteren, (2) melden aan de AP indien risico voor betrokkenen en (3) melden aan betrokkene indien hoog risico.

Source: artikel 33 en 34 AVG en ik ben privacyrechtadvocaat en ik adviseer vaker over dit onderwerp.

n.b. In dit geval durf ik wel te stellen dat een hoog risico bestaat voor betrokkenen gezien de bijzondere aard van de gegevens (BSN en gezondheidsdata) en de aard van het lek (verkoop aan criminelen). Dus melden aan AP en betrokkene.
Dit is zeker een zeer hoog risico door alle gegevens die er in staan. Als ik het zo lees hebben de medewerkers sowieso veel te veel rechten. Dus de ggd heeft wel iets uit te leggen.

Met dit soort zaken snap ik in ieder geval wel waarom er nog geen landelijk epd is en waarom die nog heel lang weg hoort te blijven. Rechten, audit en risico alarmen behoren wat mij betreft de hoogste prioriteit te krijgen in dit soort systemen. Een export functie van alle gegevens hoort helemaal niet open te staan en gegevens die getoond worden, zoals Bsn hoeven helemaal niet volledig in beeld, alleen de laatste 4 getallen zou genoeg moeten zijn voor de medewerkers.

Ben trouwens wel benieuwd of ze mijn gegevens wel zouden kunnen zien. Die staan aangemerkt als geheim bij het gba, omdat ik gek werd van de kerk die zomaar mijn gegevens kreeg bij een verhuizing. Wat ik niet direct wist is dat dit direct gevolg heeft op alle GBA opvragen. Als mijn fysio, tandarts, verzekeraar of huisarts de gegevens opvraagd krijgen ze bijna niets terug. Reageren ze altijd zeer verbaasd op, maar dat kun je gewoon aanvragen bij je gemeente. Enige nadeel ver hen is dat ze daarna alles met de hand moeten invoeren in hun systeem. Maar als dat goed is ontworpen, zoals die van mijn zorgverzekeraar, zijn adres, volledig bsn etc alleen door bepaalde personen en onderliggende systemen te raadplegen. Het callcenter ziet alleen staan dat die gegevens geheim zijn.

[Reactie gewijzigd door SunnieNL op 25 januari 2021 22:12]

gaat goed met dat corona beleid van hier :+ toch een aanfluiting op alle facetten
praktisch ieder land doet het beter; qua registratie, uitrol vaccin en handhaving. :X
Worden er fouten gemaakt? Zeker.

Maar je (/men) mag wel wat meer respect hebben zeg. Er wordt ontiegelijk hard gewerkt door GGD'en, RIVM, Gezondheidsraad, Veiligheidsregio's en andere (overheids)organisaties. O.a. door mij (een heel klein schakeltje in het geheel). Met praktisch nul waardering vanuit de maatschappij. Ik ben er zo klaar mee, altijd maar die negativiteit en gezeur op ambtenaren.

Mijn motivatie om in de publieke sector te werken ('iets positiefs bijdragen aan de maatschappij') heeft sinds de crisis een enorme deuk opgelopen. Ik walg echt van het individualisme en het populisme in onze samenleving.

En dan zijn er idioten die een teststraat in de fik gaan steken. Kwam uitgebreid in het nieuws maar ik weet dat er bij andere teststraten de afgelopen maanden ook veel gekloot is geweest. Stekkers van aggregaten eruit halen zodat er vanalles kapotvriest, medewerkers van teststraten bedreigen, antivaxxers die gaan demonstreren. Bah.

(En ja ja, ik weet wel: overgrote meerderheid houdt zich zo goed mogelijk aan de maatregelen en alles. Maar na bijna een jaar aan negativiteit zit ik er redelijk doorheen.)
Allereerst respect voor de moeite die je neemt om je standpunt hier neer te zetten. In een discussie als deze openlijk uitkomen dat je onderdeel van het geheel bent en je jezelf op een duidelijke manier uit. Het probleem wat je aangeeft: "met praktisch nul waardering vanuit de maatschappij" heeft denk ik veel meer te maken met het (hard) roepen van mensen die het niet eens zijn of ergens tegenaan willen/kunnen schoppen, dan met het afwezig zijn van de waardering van het overgrote deel van de bevolking.

En ja, ik heb ook al met de GGD te maken gehad (i.v.m. een Corona besmetting in mijn directe omgeving) en ja, ook daar ging e.e.a. mis (positief getestte persoon kwam pas achter de uitslag toen er voor contactonderzoek gebeld werd, men was vergeten de uitslag door te geven, terwijl ik met mijn negatieve test 2x gebeld ben om het door te geven, waarbij 1x zonder enige manier van verificatie dat ze de goede persoon aan de lijn hadden). Maar toch overheerst bij mij een gevoel dat er een gigantische klus verricht wordt, en dat bijna iedereen meer dan z'n best doet. En met zo'n klus is het niet meer als logisch dat er weleens wat fout gaat. Wat opvalt is dat wanneer ik een gesprek afsluit met "succes met de rest van je werk vandaag" je bijna altijd een zucht van verlichting en een welgemeend "bedankt" hoort. Dit versterkt jouw opmerking van niet uitgesproken waardering.

Nu naar dit artikel. Dit vind ik niet in de categorie "er gaat wat fout" vallen, dit valt bij mij in een veel zwaardere categorie. Ik snap dat het gebeurd is/gebeurd, maar ik vind de reactie vanuit de GGD tot op heden onbegrijpelijk en vooral kwalijk. Ik hoop dat ze een aantal rotte appels kunnen opsporen en aan kunnen pakken, want dit gaat invloed hebben op heel veel hardwerkende en goedbedoelende mensen die hetzelfde werk doen.

Van mag een ieder zoveel protesteren tegen de maatregelen als dat ze willen. Maar vernielen, saboteren en anderen lastig vallen is een absolute no-go en mag van mij keihard aangepakt worden. En een oproep die ik al eens op een andere plek ook gedaan heb: als je iemand tegenkomt die iets voor je doet, of het nu een GGD medewerker is aan de telefoon of een supermarktmedewerker die een karretje voor je schoonmaakt: doe eens een vriendelijk woordje terug. Dat kan zoveel verschil maken voor de desbetreffende persoon... zeker omdat je vaker shit over je heen krijgt dan een positief geluid.
Ik ben er zo klaar mee, altijd maar die negativiteit en gezeur op ambtenaren.
Dat Nederland in Europa het laatste begon met inenten en de traagste is met inenten heeft er wellicht ook wat mee te maken?

Blijkbaar word er in de rest van Europa nog harder gewerkt? Of efficienter?
Maar gaat het in andere landen nu werkelijk zoveel beter? Belgie en Ierland zijn op 28-12 begonnen en hebben nu 192.000 resp. 122.000 mensen gevaccineerd.

Nederland begonnen op 8-1: 115.000. Per dag doen wij er meer dan bovenstaande landen, dus binnen korte tijd hebben we die ingehaald.

En in Duitsland ligt het zo'n beetje op z'n gat.
En de oorzaak daarvan ligt bij de ambtenaren? Bij het personeel dat de prikken zet? Bij de hulpverleners? Bij de teststraten?
Bij de ambtenaren ja.
Dat de plannen in december niet klaar lagen heeft niets te maken met de hulpverleners of teststraten. Dat is puur het ministerie.

En ik heb geen aanleiding om te denken dat het tempo daarna wel iets met de hulpverleners te maken heeft.
Bij de ambtenaren ja.
Dat de plannen in december niet klaar lagen heeft niets te maken met de hulpverleners of teststraten. Dat is puur het ministerie.

En ik heb geen aanleiding om te denken dat het tempo daarna wel iets met de hulpverleners te maken heeft.
De reden dat we hier later begonnen met inenten dan bijvoorbeeld in Duitsland is eenvoudig; we hebben hier een fijnmazig systeem waarbij we bijvoorbeeld de griepprik tot in de bejaardenhuizen leveren. Er is bij het ontwerp voor de plannen uitgegaan van dit scenario. Toen dit scenario gereed was bleek dat de het aantal doses per verpakkingen veel groter was dan bruikbaar was voor dit systeem. Er moest een nieuw plan gemaakt worden.

In Omringende landen bestaat zo’n fijnmazig systeem niet; Nederland heeft hier last van de wet van de remmende voorsprong; en niet zoals jij suggereert met een paar luie ambtenaren.
Mooi verhaal......

Wat er werkelijk aan de hand was is dat Pfizer tijdens de eerste briefing al aangegeven heeft dat het vaccin per 1000 stuks kwam. Een aantal maanden voor de goedkeuring in december, ik meen in september/begin oktober al.
En dat ze zich daar aan hielden, ondanks dat Nederland zeurde en kleinere porties wilde zodat het makkelijker gedistribueerd kon worden.
Want zeg nu zelf, als je 17 miljoen man twee keer moet inenten dan zijn porties van 1000 toch al klein?

Waar het misging is dat niet ingespeeld is om porties van 1000 (x zes vaccinaties =6000 vaccinaties) snel te kunnen zetten in vaccinatiecentra, óf door in te spelen om de vaccinflesjes gekoeld beveiligd te kunnen distribueren in dat fijnmazige systeem waar je het over hebt.
Ontdooit vanuit -70 is het vaccin namelijk 5 dagen houdbaar bij temperaturen van 1 tot 7 graden. In die tijd kan je ongeveer 15 keer in Nederland een rondje rijden van Groningen tot Maastricht en terug om iemand te vinden die gevaccineerd wil/moet worden.
En de incompetentie duurt voort, het vaccinatieschema is nog steeds niet op punt, 6 weken na de landelijke verontwaardiging, en er liggen nog steeds vaccins op een plank te wachten omdat ze het zo ingedeeld hebben dat ze tot de volgende levering elke dag wat kunnen zetten.
Dus nog afgezien of je het tweede vaccin reserveert klopt er nog steeds niets van, er zijn 400.000 vaccins geleverd en na een maand pas 100.000 gezet.
Het gaat dus nog steeds mis. Want dat fijnmazige/inmiddels opgeschaalde systeem is blijkbaar niet capabel om die extra 100.000 (of 300.000 zonder reserve) vaccins zo snel mogelijk in de allerkwetsbaarsten te prikken, naast de 100.000 zorg en anderen die eerder op de lijst kwamen en in eigen beheer geprikt konden.

[Reactie gewijzigd door Teijgetje op 26 januari 2021 14:54]

Waarom worden hulpverleners en teststraten dan aangevallen?
Goede vraag. Waarom word een station en de Jumbo in een station geplunderd?
Stel de vraag aan de mensen die het doen.
Jouw opmerking geeft in mijn ogen precies de respectloosheid waar sOid het over heeft weer..
Daarnaast, de werkeloosheid daalt al weer, en is ook niet in de buurt geweest van het niveau van 2013/14.
Jouw opmerking geeft in mijn ogen precies de respectloosheid waar sOid het over heeft weer..
Daarnaast, de werkeloosheid daalt al weer, en is ook niet in de buurt geweest van het niveau van 2013/14.
Vergelijk het voor de grap eens per sector. Want niet iedereen in zwaar getroffen sectoren zal kunnen opbrengen zich nog compleet om te laten scholen om in een andere sector vanaf nul startende aan de bak te kunnen met een compleet nieuwe loopbaan.

[Reactie gewijzigd door R4gnax op 25 januari 2021 19:20]

Het staat je vrij om te solliciteren bij de overheid, er staan genoeg ict vacatures open.
Pfff, populistisch gewauwel.
Elke land maakt(e) fouten, google maar eens op duitsland corona fouten (of welk land dan ook) en er is altijd wel iets aan te merken aan het corona beleid of de uitvoer ervan.
Het zijn niet alleen de fouten die zorgen voor populisme.

Het dagelijks aantal positieve testen in Duitsland (~13.000 per dag) is per 100.000 inwoners (16,25) de helft lager dan in Nederland (29,41 met ~5.000 besmettingen) wat heel goed lijkt, maar het aantal doden door corona is twee keer zo hoog (92 per 100.000 in Duitsland tegen 44 in Nederland). Als je er van uit gaat dat het aantal doden het makkelijkst te tellen is en het minste fouten bevat, kom je dus uit op dat in Duitsland besmette mensen zich minder vaak laten testen. Zelfs als je de manier waarop de sterftecijfers worden verzamelt niet kunt vergelijken tussen landen dan geeft de case fatality rate over tijd nog steeds aan wat de trend is. De case fatality rate gaat in Duitsland al sinds begin december omhoog (wat toont dat in verhouding minder mensen zich laten testen) terwijl het in Nederland daalt (wat duidt op een beter testbereik).

Hoor je dus een nieuwsbericht dat alleen over individuele cijfers gaat, hou dan in je achterhoofd dat deze sterk afhankelijk zijn van hoe deze worden verzameld. In het voorbeeld hierboven kan je dus stellen dat het aantal daadwerkelijke besmette mensen in Duitsland tussen de twee en vier keer hoger moet zijn als er op de "Nederlandse" manier werd getest en gerapporteerd.

Hetzelfde trouwens over vaccinatiecijfers. Je kunt pas iets zeggen over hoe snel een land is als je het legt naast het aantal vaccins dat is geleverd, met daarna de vraag of de mensen die een vaccin hebben ontvangen ook de juiste doelgroep zijn. Die laatste vraag heeft voor iedereen weer een ander antwoord, de een vindt de politie belangrijker dan leraren. En dan kun je ook nog nadenken over of landen niet te snel vaccineren en geen buffer aanhouden voor het geven van een noodzakelijke tweede inenting.
Of de vergrijzing is bijvoorbeeld hoger in Duitsland. Of er zijn meer mensen obesitas obees (thanks @Viswinkel, typo).

[Reactie gewijzigd door Fraaank op 26 januari 2021 10:41]

Ja er kunnen ook andere oorzaken zijn, misschien raken in Duitsland alleen maar ouderen in verzorgingshuizen besmet. Dat daarmee een factor vier te verklaren is lijkt alleen wel onwaarschijnlijk.

Heb het even opgezocht, de bevolking van 65+ is nagenoeg gelijk in Nederland en Duitsland. In andere leeftijdsgroepen zie je meer verschillen. Informatie over gewicht en andere risicofactoren ben ik ook wel benieuwd naar, mocht iemand weten waar die te vinden zijn.

Toevoeging: In mijn vorige bericht staat natuurlijk wel dat er in Duitsland meer mensen sterven aan corona dus hoe de cijfers zich daar ook bewegen, "we" doen het hier uiteindelijk waarschijnlijk beter dan daar. Het is alleen minder inzichtelijk omdat hier de focus op het testen ligt en dat een aardige voorspelling is gebleken voor hoe een maatregel een paar weken later uitpakt in de ziekenhuizen. Alleen schrikken mensen juist van het feit dat het aantal positieve testen hier zo hoog is in vergelijking met andere landen, terwijl dat alleen het resultaat is van het testbeleid dat in mijn ogen hier dus al maanden goed loopt (maar waarbij de opvolging altijd beter kan).

[Reactie gewijzigd door Skit3000 op 25 januari 2021 19:56]

Ja er kunnen ook andere oorzaken zijn, misschien raken in Duitsland alleen maar ouderen in verzorgingshuizen besmet. Dat daarmee een factor vier te verklaren is lijkt alleen wel onwaarschijnlijk.
Nou, misschien juist wel. In een verzorgingstehuis is bij een besmet geval daarna vaak een uitbraak waarna er meteen vele zieken zijn. Misschien dan niet 4x meer, maar 10x meer.
De beste stuurlui staan aan wal hè.
Waarom is de situatie rondom corona dat net zo kut als hier? Als het allemaal beter zou werken zou je dat ook in de cijfers moeten zien.
Hier is het kutter: we staan niet voor niets al heel lang bijna altijd bovenaan qua besmettingen in Europa. Ze waren ook al te laat met mondkapjes inkopen.

https://www.worldometers.info/coronavirus/?

[Reactie gewijzigd door AnonymousWP op 25 januari 2021 16:43]

Ik zie Nederland op plek 9 met absolute aantal cases. En plek 15 met aantal cases per miljoen inwoners. En plek 27 met aantal doden per miljoen inwoners. Dat noem ik middenmoot.

Heb je zelf je eigen bron wel bekeken?

[Reactie gewijzigd door jorisvergeerTBA op 25 januari 2021 17:01]

Ja, maar filter eens op het aantal nieuwe besmettingen. En voor een nóg beter beeld: filter eens op de besmettingen per miljoen inwoners.
Aantal nieuwe besmettingen is een absoluut getal. Lastig om te vergelijken als je dat niet kan normaliseren naar "per 1 miljoen inwoners". (ben ff te lui om dat zelf uit te gaan rekenen voor elk land)

En besmettingen per miljoen inwoners staan we op plek 15.
Aantal nieuwe besmettingen is een absoluut getal.
Daarom per 1m inwoners. En plek 15 van de 48 vind ik niet bepaald goed. Wereldwijd plek 23. 8)7

[Reactie gewijzigd door AnonymousWP op 25 januari 2021 17:31]

Ik zeg niet dat we het goed doen, maar ook dat is een onzin getal, die per miljoen inwoners.
Dit kan hoger liggen doordat we eerder bereid zijn ons te testen.
Dit kan hoger liggen omdat we dichter op elkaar leven.
Dit kan hoger liggen omdat er veel mensen naar of door ons land reizen.
Landen met elkaar vergelijken zonder verder te kijken naar de eigenschappen van het gebied en het volk is zinloos.
Dat is één van de vele argumenten. Nederland reageert ook gewoon traag icm andere landen.
Nee blijkbaar reageren we gemiddeld als we overal middenin de lijsten staan...
Is it? Qua rangorde geïnfecteerden/doden staan we op #20 en zijn alle landen boven/gelijk aan ons qua getal vele malen groter. (minstens 2-3x groter)
Of dat aan het beleid ligt of aan het feit dat we één van de dichtstbevolkte landen zijn weet ik niet.
Zuid-Korea en Taiwan hebben een veel dichtere bevolking en doen het veel beter. Amerika heeft volgens mij een halve inwoner per 100 vierkante kilometer en daar sterven ze met dozijnen tegelijk. Het is puur een kwestie van cultuur en leiderschap.

Nederlanders luisteren niet, de politiek komt met maatregelen die nergens op slaan, geloven in steeds grotere mate in "alternatieve feiten" en beginnen nu ook al met rellen. We gaan Amerika als schaapjes achterna :z

Ik zou het daar meer zoeken dan huizen die dichterbij elkaar staan.

[Reactie gewijzigd door ItsNotRudy op 25 januari 2021 17:08]

Amerika heeft volgens mij een halve inwoner per 100 vierkante kilometer
Het zijn dan ook juist de grote steden in de VS waar de slachtoffers vallen.
Zoals New York dat meer inwoners heeft dan Nederland en een groter aantal mensen per vierkante kilometer.

Taiwan wist onmiddellijk dat informatie van China niet te vertrouwen was, dus die hebben veel eerder maatregelen genomen.

Als je landen gaat vergelijken dan is er vrijwel geen correlatie te vinden tussen beleid en aantal slachtoffers.
Wat dat betreft hadden ze geluk niet in de WHO te zitten en wij ongeluk, want man man man, wat hadden we daarmee veel beter af kunnen zijn. Maar goed, we mogen de grote leider natuurlijk niet op z'n pikkie trappen.
Dat zijn eilanden. Taiwan een echt eiland en Zuid-Korea een schiereiland met een totale afsluiting naar het noorden. Is totaal onvergelijkbaar met Nederland.
Dat is natuurlijk bullshit, want ook wij kunnen de grens dichtgooien. Hebben we nu toch ook met Engeland binnen 2 weken gerealiseerd? Grens dicht en alleen maar naar binnen met een negatieve test bij de grens, of anders ophoepelen.

Kunnen we gewoon even 5 minuten kappen met slappe kutexcuses maken of ongefundeerd trots zijn op ons oh zo beschaafde, moderne en tolerante landje en ons erbij neerleggen dat het gedrag van een heleboel mensen en leiders hier is om je helemaal de tyfus voor te schamen? Er wordt gereld, zaken worden afgebrand en leeggeroofd, ziekenhuizen worden aangevallen, politici en journalisten worden met de dood bedreigd, er worden illegale feesten gehouden, we worden steeds meer gelovig in Amerikaanse onzin-theorieen, tracering willen we niet, want "oh nee privacy" schreeuwen op platformen die je privacy schenden en ons ondertussen maar afvragen waarom de maatregelen steeds verder gaan.

[Reactie gewijzigd door ItsNotRudy op 25 januari 2021 20:29]

Nee, wij kunnen de grens niet dichtgooien. We zijn vanwege de Europese samenwerkingsverbanden een doorvoerland voor miljoenen tonnen aan goederen en voedsel voor heel Europa. Als wij ons land dichtgooien heeft heel Europa een probleem.
En dat kan nog prima doorgaan. Chauffeurs kunnen (snel)testen doen en hoeven niet zelf de vrachtwagens uit te laden, dus er hoeft niet veel lichamelijk contact te zijn. Landen met de grenzen dicht ontvangen/versturen ook nog steeds vracht.
Het gaat niet alleen om de chauffeurs maar om alle mensen die een bijdrage leveren aan de import en export van goederen die heel Europa over moeten. Op een eiland kun je alles stilleggen en alleen datgene doorgang laten vinden dat voor je eigen eiland van belang is. Dat gaat in Nederland niet.
Leuke theorie, maar dat gebeurt natuurlijk helemaal niet. Staat ook volledig los van dat het een eiland is.
Dan moet je misschien even contact opnemen met de minister en de EU om uit te leggen hoe het allemaal moet.
Waarom heeft de ANWB toegang tot persoonsgegevevens van coronatests?
De ANWB helpt de GGD met het BCO (Bron- en Contact Onderzoek): https://www.anwb.nl/over-...bron--en-contactonderzoek
Omdat het contactonderzoek door de ANWB gedaan word, die hebben al callcenters die niets te doen hebben omdat niemand meer op vakantie mag.
Waarschijnlijk omdat de ANWB de GGD heeft ondersteund bij het bron- en contactonderzoek.
Als private onderneming, ze zijn ook een soort hulpverleende dienst
Dat is een minuut voordat je dit postte uitgelegd hierboven.
Ik was aan het tikken en toen stond er pas 1 reactie.
Dus, tja, bedankt iedereen. :)
Ik vraag me bij dit soort verhalen altijd af wie zo'n systeem heeft goedgekeurd. Ergens moet dan een vergadering zijn geweest waar men heeft gestemd of het al dan niet een goed idee was om het systeem aan te leggen en een gebruikersgroep op deze schaal toe te voegen.
Heeft iemand gezegd dit moeten we niet willen, is er überhaupt stil gestaan bij de mogelijke gevolgen?
Heeft iemand gezegd dit moeten we niet willen, is er überhaupt stil gestaan bij de mogelijke gevolgen?
Behalve de toegang beperken (wat gedaan is), wat denk jij te kunnen doen tegen mensen die toegang moeten hebben en die dat misbruiken? Een database waar niemand bij kan is veilig, een database die gebruikt word is zo veilig als de medewerkers eerlijk zijn.
Gegevens die normaalgesproken alleen door beëdigde mensen behandeld worden, worden in dit geval geëxporteerd door individuen die geen toegang nodig hebben tot die gegevens. Waarom moet een callcenter medewerker mijn BSN nummer kunnen inzien bij BCO? Jij stelt dat de toegang wel degelijk beperkt is gemaakt. Dat is in ieder geval niet beperkt genoeg gedaan.

Wat je verder kunt doen is nagaan wie welke records opvraagt en restricties zetten op het aantal records dat opgevraagd mag worden in een bepaalde tijd. Het artikel stelt dat de GGD niet op de hoogte is van welke mensen toegang hebben. Het gaat hier dus niet alleen om technische tekortkomingen maar ook om organisatorische.

Het gevoel wat mij hierbij bekruipt is dat wij in het bedrijfsleven ontzettend ons best doen om AVG compliant te zijn en de GGD zegt feitelijk: allow all.

Dit incident had volledig voorkomen kunnen worden, als je gehackt wordt is dat super naar, maar als medewerkers (waarvan je van te voren kunt inschatten dat ze wat bij willen klussen) met de gegevens de deur uit kunnen lopen
Deels heb je gelijk.

Als iemand bij die data moet kunnen en tegen betaling data van individuele mensen opvraagt, dan is daar weinig tegen te doen.
(hoogstens logging om iemand achteraf te kunnen identificeren)

Maar die datasets van tienduizenden Nederlanders is wat anders. Hoeveel medewerkers hebben de mogelijkheid nodig om duizenden gegevens te exporteren?
Dat is iets dat je wel goed kunt beveiligen.
Zelfs dat is te omzeilen. Als je maar genoeg betaalt als crimineel. En er zijn altijd mensen die ondanks beveiligingen en loggings denken slimmer te zijn. Die zullen achteraf altijd gepakt worden, maar dan is het leed als geschied.

Ik heb ooit een project gedaan bij een grote Duitse telecomprovider. Die heeft de strengste security requirements die je kunt bedenken. Uiteindelijk is daar 1 van de grootste datahandel schandalen geweest want 2 medewerkers van de securityafdeling konden de verleiding niet weerstaan van enkele tonnen in euro's die ze kregen voor het jatten van klantgegevens. Uiteindelijk opgepakt en gestraft, maar het geeft maar aan dat technische oplossingen slechts een stukje van de keten zijn. Techneuten zoals wij hebben vaak het idee dat wel alles met technologie kunnen oplossen, en dat is meteen onze grootste valkuil.
Zelfs dat is te omzeilen. Als je maar genoeg betaalt als crimineel.
Klopt daar heb je volledig gelijk in.

Voorwaarde is wel dat de data genoeg waard is voor criminelen.
Is de data waar we hier mee te maken zodanig kostbaar dat criminelen voor een dataset van 10.000 personen zoveel kunnen bieden dat mensen riskeren de bak in te draaien?

Die mensen die 1 a 2 adressen opzoeken voor een paar tientjes denken waarschijnlijk dat het niet zoveel kwaad kan en dat de consequenties voor hen niet hoog zullen zijn.
Probleem ligt hier natuurlijk bij de callcenters en eventueel "lager" (over het algemeen) personeel bij bv GGD/ANWB etc.
Als je zo makkelijk bij al die gegevens kan komen, en de handel op internet is zo makkelijk dan is het voor velen erg verleidelijk om er iets mee te doen natuurlijk. Het is meer hoe we als maatschappij aan het afglijden zijn naar een ikke ikke ikke maatschappij.

[Reactie gewijzigd door mvrhrln op 25 januari 2021 17:24]

offtopic:
[quote]Het is meer hoe we als maatschappij aan het afglijden zijn naar een ikke ikke ikke maatschappij.[/quote]

En probeer maar eens uit te vogelen hoe dat komt... Als je je conclusie hebt zal je verbaasd staan te kijken.
Je moet een timeframe van minstens 30 jaar nemen.
Ik vermoed dat het benoemd zal zijn, maar onder operationele druk (pandemie, snel schakelen) onderop de stapel terecht is gekomen.
Je hebt zeker gelijk. Neemt niet weg dat het simpelweg onacceptabel is. Identiteitsfraude, daar heb je je leven lang last van. Als de hoogspanning uitvalt dan zet men de veiligheid ook niet op een lager pitje om zo snel mogelijk weer stroom te leveren. Boud gezegd worden de kantjes er vanaf gelopen door de semi-overheid
De genoemde systemen worden al jaren gebruikt in de zorg, het is niet op een vrijdagmiddag in elkaar geknutseld.
Ik begrijp niet, hoe iemand grote hoeveelheid aan data uit zo'n systeem kan halen. Zonder dat er alarmbellen afgaan en toegang ontnomen wordt.
Systemen die veel te snel zijn ontwikkeld zonder enige vorm van inbraak controle.
HPZone is niet 'te snel ontwikkeld'. Het is 1 van een stuk of 3 grote informatiesystemen die in de zorg gebruikt worden. Dat is niet iets dat op een vrijdagmiddag even voor Corona in elkaar gedraaid is.
De software is niet zomaar ontwikkeld, nee. Ik vermoed dat het probleem hier het proces is.

Dit is een groot, breed gebruikt systeem, dus het is flexibel genoeg dat je het op meerdere manieren kunt gebruiken. Bij de implementatie zul je dan een proces moeten definiëren voor het gebruik. Dat bevat gebruikersrollen, zoals call-center medewerker. Als het goed is, definieer je ook een auditor rol. Juist in dit soort medische systemen kun je toegang tot persoonsgegevens auditen, maar dat moet wel gebeuren.

Helaas past dit in een beeld van de GGD als een passieve, disfunctionele organisatie. Het zal na Corona nodig zijn om een vergaande reorganisatie door te voeren.
De software is niet zomaar ontwikkeld, nee. Ik vermoed dat het probleem hier het proces is.
Ja; maar niet primair het bedrijfsproces.
Het probleem hier is dat andere: het wettelijke proces.

Specifiek de processen rondom het BSN, wat hier het daadwerkelijk waarde-toevoegende gegeven is voor criminelen. Het BSN had eigenlijk nooit meer mogen zijn als een vrij en publiekelijk te gebruiken kengetal voor een persoon dat niet meer privacy waarde dan je NAW gegevens zou moeten hebben. (Sterker nog: eigenlijk minder. Want in tegenstelling tot NAW zegt het getal zelf helemaal niets over de burger bij wie het hoort.)

Alleen hebben we hier in Nederland een hele ambtenarij en bakken vol dienstverlening in (semi)-overheid die allerlei zaken en belangen met hoge impact op het leven van de burger, gekoppeld hebben aan enkel de wetenschap van het BSN.

Het is soort van de sleutel waarmee op veel plekken alles van het slot gaat. In een knap staaltje wanbeleid en ambtelijke incompetentie heeft de overheid het voor elkaar gekregen het feitelijke equivalent te construeren van een situatie waar gebruikersnaam en wachtwoord ineengesmolten zijn: 0-factor authenticatie.

Als de overheid de bal hier niet zo gigantisch had laten vallen, dan was er met het uitlekken van een BSN helemaal niets aan de hand. Dat zou op zichzelf staand, zoals eerder geschreven, letterlijk minder betekenen dan een set NAW gegevens.

[Reactie gewijzigd door R4gnax op 25 januari 2021 19:08]

De GGD is de afgelopen jaren steeds verder uitgekleed, net zoals allerlei andere organisaties, door de overheid in het kader van bezuinigen dus niet verwonderlijk dat het dan een keer misgaat. Ik betwijfel of een reorganisatie gaat helpen want zo lang ze teveel taken moet uitvoeren met te weinig middelen gaat het niet goed komen. Er gewoon structureel meer geld naar dit soort maatschappelijk belangrijke organisaties, o.a. dus ook de ggz/politie/zorg etc.
Beveiliging van zulke kwetsbare gegevens was dan blijkbaar niet onderdeel van hun prioriteit tijdens de ontwikkeling.. :/
http://hpzone.nl/
Ik moet eerlijk zeggen dat die hoofdpagina bij mij niet veel vertrouwen schept. Op deze manier lijkt het een een in een dozijn online formuliertjes bouwer website.
Het kan technisch nog steeds wel goed in elkaar zitten maar ik vermoed niet dat iemand met IT kennis nog kritisch naar de workflow / informatie beschikbaarheid gekeken heeft en dat dit gewoon bij elkaar is geklikt door een kleine groep mensen.
Mijn vertrouwen gaat al een paar stappen achteruit als deze alleen via HTTP te benaderen is. Als een stuk software vertrouwen moet wekken dan zal de bouwer het ook moeten doen, zonder HTTPS loop je mijn inziens al achter.
Die pagina is een standaard template met 'Hier kunt u uw site plaatsen' van 123Reg. En dus niet de website van HP Zone.

HPZone heeft geen website. Het is geen product dat je kunt kopen off the shelft. Het is ooit door de Engelse overheid ontwikkeld en blijkbaar gebruiken wij het nu ook.

Het probleem met HPZone is vooral dat het niet ontworpen is voor een pandemie en door gebruik van allerlei verschillende partijen. Het is niet gemaakt voor deze mate van fijne regulering van toegangsrechten.
Dat klinkt niet alsof het niet alleen niet ontworpen is voor gebruik in een pandemie.
- Audit logging is geen standaard functionaliteit. En kost 3 maanden om te ontwikkelen.
- Het heeft blijkbaar beperkte mogelijkheden tot uitdelen van rechten waardoor iedereen maar alles mag ipv andersom

Volgens mij is die software helemaal niet geschreven om iets met gevoelige data te doen, laat staan iets in de zorg. Pandemie of niet.
Is het foutief geconfigureerd? Het lijkt mij dat, als je naar de situatie kijkt, het opvragen van informatie over meerdere personen tegelijk, dus van 2 tot "miljoenen" een activiteit is die uitgesloten zou horen te zijn aangezien die situatie bij normale toepassing niet voorkomt.
Nee je moet de medewerkers vertrouwen...maar het vlees is zwak en het geld misschien goed. En dan gaan jou gegevens de wereld rond..
Nouja, je weet wel dat die systemen dus gebouwd worden door de grote bedrijven ICT bedrijven, die altijd veel geld vragen en er toch een groot potje van maken.
Ik zie nergens staan dat er personen zijn die op grote schaal deze data uit de systemen halen. Het lijkt er meer op dat deze per stuk worden verhandeld. Dus door mensen die bv bij een call center zitten en zo extra snel geld willen verdienen. Deze zoeken gewoon iemand op en zetten deze data individueel door naar een handelaar. Hiermee verdienen ze dus 100'en euro's per dag extra mee.

Dat krijg je ervan als moraal niet meer belangrijk is en als je moraal hebt je voor moraalridder wordt uitgemaakt. Steeds meer mensen die alleen nog maar wat geven om geld. Dan is het heel eenvoudig om dit soort praktijken op te zetten.
Maar hoe wil je dat dan voorkomen?

Callcentermedewerkers vooraf screenen?
Alles monitoren en elke discrepantie nalopen? (Je hebt dhr Jansen opgezocht maar je hebt geen telefoongesprek gehad met hem, hoe komt dat?)
Callcentermedewerkers controleren op briefjes met gegevens?

Je kunt natuurlijk van alles bedenken maar op een gegeven moment gaan de medewerkers die te goeder trouw zijn klagen dat ze geen zin hebben in allerlei stasi controles.
Audit logs van wie wat heet opgevraagd en een seintje naar de eigenaren* van de data dat er iemand iets heeft opgevraagd/bekeken met welk doel en de mogelijkheid tot het laten onderzoeken of deze toegang terecht was.

* en dan bedoel ik niet degene die de database heeft samengesteld, maar de natuurlijke pesoon aan wie deze prive gegevens toekomen.
Juist. En wat mij betreft mag daar (eventueel op basis van sterk aan te raden opt-in) nog 2FA aan toegevoegd worden:

1) Ik bel de Corona-lijn voor een afspraak;
2) Medewerker vraagt mijn huisnummer en de laatste 3 cijfers van mijn BSN;
3) M'n DigiD app meldt dat medewerker 3165 van callcenter Teleperformance toegang wil tot mijn adres, woonplaats, volledige naam (BSN hebben ze niet nodig, die kan dan digitaal gecontroleerd worden);
4) ik druk op "Toestaan";
5) Medewerker 3165 krijgt op z'n scherm dat de gegevens geverifieerd zijn en kan de afspraak inplannen.
En nu heeft iemand geen digid app, en nu?
Dit kun je toch iig activeren voor iedereen die wel via de DigiD app werkt ? Als de medewerkers niet weten bij een bepaald persoon dat ze wel of geen challenge krijgen is de kans dat ze het proberen veel kleiner. Daarnaast kun je natuurlijk ook een BSN via het telefoon menu vragen en de medewerkers krijgen automatisch de gegevens van de beller te zien (zonder BSN) na bv verificatie postcode. Zo werken bv banken.
Ik schreef het er nog bij: Op basis van sterk aan te raden opt-in.
En nu heeft iemand geen digid app, en nu?
Authenticeren via een aan DigID gekoppelde website. Of maak gebruik van bijv. iDIN wat door diverse banken ondersteund wordt.

[Reactie gewijzigd door R4gnax op 25 januari 2021 19:11]

Dit klinkt in theorie heel mooi, maar is in de praktijk natuurlijk totaal niet efficient en voor velen niet haalbaar of te begrijpen.
Ten eerste zorgt dit voor vertraging terwijl er juist bij de corona afspraken belang is bij spoedig handelen, het zorgt daarnaast ook voor een extra handeling. Ten tweede gebruikt (even een grove schatting) 90% van de mensen de DigiD app (nog) niet en zal het gebrek aan IT kennis voor een heel groot deel al een obstakel zijn.

Het zou inderdaad wel fijn zijn als je dit kunt kiezen als opt-in. Maar je verschuift hiermee eigenlijk de taak deels naar de burger. En stel dat dit voor alle systemen gebruikt zou gaan worden die persoonsgegevens gebruiken. Dan krijg je op een gegeven moment meerdere malen per dag verzoeken om gegevens te gebruiken, de bank, de belastingdienst etc. En elke keer dat het gebeurt moet er ook gewacht worden op jouw goedkeuring waardoor taken vertragen.
Het is heel eenvoudig: Je kan medewerkers niet 100% vertrouwen. Er is geen 1-op-1 match te maken tussen een beller en de gegevens die een medewerker opzoekt. Je zou hooguit de medewerkers eruit kunnen vissen die meer gegevens opzoeken dan ze telefoontjes hebben, maar daar is een makkelijke workaround voor: Zéggen dat je een afspraak inplant, maar het niet doen.

Niet efficient en niet haalbaar? Dat werd ook gezegd over het DigiD. Het is er en iedereen werkt ermee.
De suggestie van @Eboman is overigens ook een goeie optie.
Dan krijg je op een gegeven moment meerdere malen per dag verzoeken om gegevens te gebruiken, de bank, de belastingdienst etc. En elke keer dat het gebeurt moet er ook gewacht worden op jouw goedkeuring waardoor taken vertragen.
Ik voorzie warempel een compleet nieuwe beroepssector ontstaan. Die van een trusted third party welke bij zulke zaken uit-naam-van kan handelen en bij gevallen die niet pluis zijn of die twijfelachtig zijn, pas de dienst-afnemer inschakelt.
Ja. Ik begrijp dit ook niet precies. In ons systeem/epd ben je of vanuit historie of vanuit verwijzing gekoppeld aan een patiënt en kan je inloggen. En dat wordt uiteraard gelogd. Als het systeem twijfelt krijg ik een melding en moet ik een reden invoeren. Dat wordt vervolgens systematisch gecontroleerd door de AVG functionaris. En, heel helder, je moet een verdomd goed verhaal hebben anders vlieg je er gewoon uit.
Als men al eens begon met elke toegang te loggen, weet je achteraf tenminste wie iets van iemand heeft opgevraagd. In België, nu geen toonbeeld van een gedigitaliseerde overheid, kan ik via een overheidssite bvb opvragen wie mijn medisch dossier ingekeken heeft. Je kan via die site zelfs de toegang tot jouw medisch dossier blokkeren voor bepaalde personen.
Ik zie nergens staan dat er personen zijn die op grote schaal deze data uit de systemen halen. Het lijkt er meer op dat deze per stuk worden verhandeld
Het staat letterlijk in het artikel:
Er zijn ook accounts die grote datasets aanbieden, met daarin gegevens van tienduizenden Nederlanders.
Maar er staat nergens dat deze data sets op grote schaal ineens uit de systemen zijn gehaald. Het kan ook zijn dat deze door meerdere mensen per stuk verkocht worden en gebundeld verkocht worden. Er is een verschil tussen het op grote schaal uit de systemen halen en grotere datasets aanbieden ter verkoop. Als er dus een groep van 25 personen elke dag 4 of 5 records uit een systeem kopieert en die 100 dagen doet, dan heb je al een dataset van 10000 records. Dat is veel lastiger te herkennen en er alarmbellen voor af te laten gaan.
Je gelooft in sprookjes?

30 tot 50 euro per record word er gevraagt. Dan zou die dataset van 10.000 records voor een idioot hoog bedrag te koop aangeboden moeten worden.
Nee, die hebben ze echt wel op een andere manier vergaard. Anders is het niet de moeite waard.
Natuurlijk niet. De grote sets gaan natuurlijk voor veel geld maar waarschijnlijk een stuk goedkoper dan per stuk. Groothandel vraagt niet dezelfde prijs als de winkelier die iets per stuk verkoopt.
Geloof maar wat je wilt.
Ik garandeer je dat de data uit die grote datasets niet stuk voor stuk gelekt zijn. We zullen achteraf zien wie er gelijk had.
Het ging mij er niet om wie er gelijk had, ik wilde alleen aangeven dat er niet 10000x30 tot 50 euro voor die gegevens worden betaald. Dus dan kan je ook geen conclusies trekken of het bij 1 persoon vandaan komt of een heel team.
Ik geloof in feiten en niet in gokjes. Ik geef aan in mijn post dat het niet duidelijk is hoe men aam de gegevens komt. Wat er wél in het artikel staat is dat er aan medewerkers wordt betaald pér record. Nergens wordt gesproken over het ontvreemden van een totale dataset. Dus op basis van de informatie kun je die conclusie niet trekken.
Op basis van gezond verstand kun je die conclusie wel trekken.
Nogmaals, het enige feit in het artikel is dat er individuele verkopen zijn. En er is al langer bekend dat er groepen op structurele wijze op deze manier gegevens ontvreemden bij call centers. Zeker gegevens die veel opleveren zoals BSN nummers. Verder staat dat er alleen grotere sets aangeboden worden voor verkoop. Je trekt gewoon te snel conclusies. En misschien klopt het inderdaad. Maar dat is pas zeker als er informatie over maar buiten komt. Mensen trekken tegenwoordig veel te snel conclusies op basis van onderbuikgevoel en niet op basis van feiten. Doordat gedrag hebben we steeds meer te maken met fake news, iedereen accepteert onderbuikgevoel.
Echte bronnen hebben het over tienduizenden Nederlanders. Niet dat het minder erg is dat het gevlbeurd en ik begrijp dat miljoenen lekkerder bekt maar is toch heel wat anders. Beetje sensenatie kop naar mijn in ziens.
In de quote die ik aanhaaldde staat juist dat het over datasets van tienduizenden Nederlanders gaat die aangeboden worden.
Ondertussen staan de gegevens van miljoenen Nederlanders in het systeem en zijn er criminelen die tegen betaling van een willekeurige Nederlander de data verkopen.

Dus de kop klopt feitelijk.
Ik kan me voorstellen dat jij 'm anders gelezen hebt, maar het is een beetje makkelijk om er meteen vanuit te gaan dat het ook zo bedoeld was.
Nee, want je zegt dat van miljoenen Nederlanders gegevens worden verhandeld. Dat is wat anders dan dat van miljoenen Nederlanders gegevens in het systeem van de GGD staan. Meerder datasets van 10.000 wil ook niet zomaar zeggen dat daar geen dubbelingen in zitten. Voor een miljoen (1) heb je 100 datasets nodig die uniek zijn en geen dugelingen hebben. Voor miljoenen daar dus een veelvoud van. De kop is spectaculairder dan wat nu bekend is (wat overigens niet betekend dat het uiteindelijk niet waar kan zijn, maar op dit moment gewoon niet aantoonbaar is).

@mjtdevries overigens had ik het niet over jou quote, waar het wel onder is gekomen, dus daar heb je gelijk in. Ik bedoelde de titel van het artikel...

Miljoenen is minimaal 2, van de 17 miljoen Nederlanders, wat ruim 10% van alle Nederlanders zou zijn.

[Reactie gewijzigd door jpfx op 25 januari 2021 23:07]

Geen monitoring. Simpel. Ga naar een listview. selecteer de hele handel , druk op export en klaar. Is niet heel moeilijk als de monitoring niet geregeld is
Als heel veel mensen allemaal een stukje doen dan valt het niet zo gauw op.
Ik begrijp niet waarom de GGD je BSN nodig heeft wanneer je je wilt laten testen. Is een e-mail adres en/of telefoon nummer niet voldoende? Dat dit nu gebeurt is dan ook totaal geen verrassing.
identificatie gaat op bsn.
Heb ik persoonlijk wat privacy bezwaren tegen, ik geloof dat in veel landen je je NIET hoeft te identificeren.

Naast het onvermijdelijke falen, als beschreven in dit artikel, lijkt me dit ook een drempel voor mensen om zich te laten testen.
Waarom zou dat een drempel zijn?
Omdat je daarmee je BSN dus openbaar maakt. Dat de screening van medewerkers niet op orde is als ze ineens extreem moeten opschalen lijkt me logisch.
Screening geeft schijnveiligheid. Iedereen die crimineel bezig is, is ooit niet crimineel geweest.
Heb je het artikel gelezen?
Als je je niet identificeert, hoe krijg je dan je uitslag?
Telefoonnummer of e-mail. Identificatie gegevens en contact gegevens zijn niet hetzelfde.

[Reactie gewijzigd door Avdo op 25 januari 2021 17:16]

omdat er een koppeling gemaakt wordt met je medisch dossier
en de afspraak wordt gemaakt via je digid
Omdat anno 2021 nog steeds mensen niet kundig genoeg zijn om te gaan met een mobiel of e-mail.
Ik ken nog leeftijdsgenoten(~30 jaar) die extra betalen aan de bank om hun rekeningafschrift te ontvangen per post. Ik begrijp er helemaal niets van.
Juist bij papieren bankafschriften -die je bij voorkeur elke twee weken laat bezorgen- is het gemakkelijk om altijd even te controleren op vreemde afschrijvingen. Veel beter dan via online-bankieren periodiek elke afschrijving te moeten controleren, want dat doe je waarschijnlijk toch niet automatisch elke twee weken. Zo kun je er snel bij zijn indien bijv. iemand met jouw creditcard-nummer uitgaven aan het doen is.

[Reactie gewijzigd door choogen op 25 januari 2021 17:58]

Zeg je nou echt dat het doorzoeken van transacties op papier beter gaat dan online? :+
Jazeker, omdat je er dus een regelmaat inzit: elke twee weken moet je even al je transacties doorlopen die dan via de post zijn bezorgd. Die regelmaat heb je niet wanneer je enkel online je transacties kunt inzien.
Wellicht is het ook handig om de Gouden Gids erbij te pakken om het telefoonnummer erbij te zoeken.
Flauw.....

Overigens, uit het gelinkte RTL Nieuws-artikel:

De GGD is verantwoordelijk voor de beveiliging van jouw privégegevens. Als deze uitlekken of worden doorverkocht, kunnen ze door criminelen worden misbruikt voor identiteitsfraude of oplichting. Het is daarom belangrijk alert te zijn op oplichting via onder andere e-mail, sms en WhatsApp. Ook is het verstandig om de post goed in de gaten te houden en te letten op vreemde of onverwachte post, en je bankafschriften goed te controleren.
Ik vind in excel sneller rare dingen dan op papier. Even een pivot table maken en de uitzonderingen springen nog net niet van het scherm.
Een beetje late reactie, maar het punt is niet dat je de uitzonderingen makkelijker zou vinden, maar dat je de moeite niet neemt. Als je zo'n envelopje thuis krijgt heb je een herinnering om periodiek even te checken of er rare dingen in zitten. Ik doe het ook niet meer, maar kan me er wel iets bij voorstellen.
Ik ken nog leeftijdsgenoten(~30 jaar) die extra betalen aan de bank om hun rekeningafschrift te ontvangen per post. Ik begrijp er helemaal niets van.
Als je alle afschriften steeds moet uitprinten voor de Sociale Dienst dan kost het je meer aan inkt.
Misschien een rare vraag maar waarom moet de ANWB in deze database? die hebben toch geen baat bij deze gegevens? wat ik ook wel vreemd vind is dat het bedrijf Teleperformance ook toegang heeft tot deze database, mogelijk dat medewerkers voor de GGD werken maar het komt op mij over alsof er meer personen toegang hebben dan nodig.

Ook wel een kwalijke zaak dat de GGD niet eens weet wie er allemaal in die Database kan? zou toch zeggen dat je verschillende gebruikers aanmaakt met rechten etc. komt ook hier nogal slordig over.

Edit: 1e vraag is al beantwoord zie ik net.

[Reactie gewijzigd door Funnyface131 op 25 januari 2021 16:37]

Teleperformance is ingehuurd door de ggd om het inplannen te regelen als ik even een beetje google.

Edit:
Wie graag een afspraak wil maken voor het doen van een coronatest, krijgt niet de GGD aan de lijn. Voor de coronatestlijn hebben de GGD en het ministerie van Volksgezondheid namelijk het callcenter Teleperformance ingehuurd. Dat callcenter, een van de grootste in ons land, werkt met uitzendkrachten die vanuit huis, op hun eigen laptop of computer, afspraken maken en uitslagen doorgeven.

[Reactie gewijzigd door supersnathan94 op 25 januari 2021 16:43]

Vandaar dat de medewerker geen inhoudelijke vragen kon beantwoorden, toen ik vroeg of ik nu wel of niet een test zou moeten laten doen in mijn situatie. Ze moest het eerst navragen en kwam met het antwoord bij mij terug na overleg met iemand van de achterwacht.
dat had ik nog niet uit kunnen zoeken, dank voor je uitleg :)

om even door te gaan op de laatste zin, zou het daar misschien fout zijn gegaan? dat je remote inlogt en gegevens direct kan kopiëren naar je privé pc/laptop en vervolgens verkoopt/distribueert aan derden. alsnog wel kwalijke zaak en ben benieuwd hoe dit af gaat lopen.
De ANWB helpt de GGD met het BCO (Bron- en Contact Onderzoek): https://www.anwb.nl/over-...bron--en-contactonderzoek
Waarschijnlijk omdat de ANWB de GGD heeft ondersteund bij het bron- en contactonderzoek.
dank voor je reactie, zag het ook al voorbijkomen in andere reacties :)
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee