Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

DUO lekt burgerservicenummers door verkeerd opgestelde brief

De Dienst Uitvoering onderwijs heeft de burgerservicenummers van mogelijk zo'n 1700 personen gelekt. DUO stuurde brieven rond waarop het bsn in het adresvenster te zien was. Er is melding gemaakt bij de toezichthouder.

Bij het datalek zijn mogelijk zo'n 1700 mensen getroffen, schrijft Trouw. Dat is het aantal brieven dat is verstuurd waar het bsn op te zien was. Het burgerservicenummer was door de opmaak van de brieven in het adresvenster van de envelop te zien. De brief werd verstuurd naar personen die staatsexamens in het voortgezet onderwijs organiseerden en uitvoerden.

DUO zegt tegen Trouw dat het de betrokkenen inmiddels heeft ingelicht. Ook heeft de onderwijsdienst melding gemaakt bij de Autoriteit Persoonsgegevens. Een woordvoerder benadrukt dat een bsn op zichzelf niet veel schade kan veroorzaken; dat is ook de lijn die de rest van de overheid aanhoudt. Met een burgerservicenummer op zichzelf kan een crimineel niet veel doen, maar de overheid adviseert desondanks dat zoveel mogelijk geheim te houden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

24-02-2021 • 07:26

216 Linkedin

Reacties (216)

Wijzig sortering
Wat is het idee eigenlijk van het BSN op zo'n brief? Toont de overheid hiermee aan dat ze weten wie je bent? Of dat de brief legitiem van de overheid komt? Dat laatste zou totale onzin zijn aangezien de overheid zelf zo laks omgaat met privacy, blijkens het artikel.

Of zijn er gevallen dat je op hetzelfde adres meerdere Jan de Vries hebt wonen met dezelfde geboortedatum die zich alleen maar kunnen onderscheiden a.d.h.v. BSN? 8)7
Dit betrof jaaropgaven voor mensen die in dienst van DUO examens opstelden. BSN moet op de jaaropgave vermeld worden volgens handboek Loonheffingen par. 13.3 (Belastingdienst)

Bron: trouw artikel

[Reactie gewijzigd door tobitronics op 24 februari 2021 13:36]

BSN moet op de jaaropgave vermeld worden.
En waarom moet dat?
En dan geldt nog altijd, waarom moet dat van de belastingdienst? Naam, geboortedatum en adres is meer dan genoeg. De belastingdienst zelf krijgt de gegevens al rechtstreeks van DUO.
Dat lees je terug in Handboek Loonheffingen, paragraaf 13.3/pagina 164.
Belachelijk ook dat zulke dingen nog steeds via de post gaan. Je hebt als medewerker toch een portaal? Ergens waar je je uren invult? Of waar je je declaraties doet? Of op zijn minst een werk mail adres? Stuur daar lekker die jaaropgaaf heen.

Heb je ook geen medewerkers die hem zogenaamd niet hebben gehad ofwel hem kwijt geraakt zijn.
Niet ieder bedrijf heeft dat soort systemen, ik zie vaak bij kleine bedrijven dat ze wel een en ander gedigitaliseerd hebben, maar alleen een account voor de directeur/HR om alles te regelen. Die print het dan uit om te verdelen onder de medewerkers. Meer accounts kosten natuurlijk ook meer geld en als je personeel er geen gebruik van maakt dan is het zonde om daar geld in te steken.

Net zoals er nog veel mensen zijn die eerst €100 pinnen en daarmee naar de supermarkt gaan.
Ik denk dat een BSN prima is ter identificatie, maar het probleem is dat het nummer ook voor verificatie gebruikt wordt - je kunt nog heel veel met een BSN.

Wat ze moeten doen is de BSN degraderen tot 'gewoon' een klantnummer zoals anderen al aangeven, en combineren met bijv. DigID of een ander soort wachtwoord - dat gewijzigd kan worden - om ook maar iets ermee te kunnen doen.

En uiteindelijk moet het mogelijk kunnen zijn om je BSN te wijzigen.
Eigenlijk zouden er twee BSN's moeten komen
Een 'normaal' BSN, wat je gewoon voor de normale dingen gebruikt, zoals voor op de jaaropgave en dingen bij bijvoorbeeld de GGD
En dan een 'secure' BSN wat je dan gebruikt bij bijvoorbeeld de bank om een rekening te openen o.i.d.
Eigenlijk wat @YopY al zei dus..
Een 'secure code' is toch een wachtwoord?
Eigenlijk zouden er twee BSN's moeten komen
Een 'normaal' BSN, wat je gewoon voor de normale dingen gebruikt, zoals voor op de jaaropgave en dingen bij bijvoorbeeld de GGD
En dan een 'secure' BSN wat je dan gebruikt bij bijvoorbeeld de bank om een rekening te openen o.i.d.
Dat 'secure' BSN zou dan ook heel makkelijk veranderd moeten kunnen worden als het uitlekt, net als met een wachtwoord. Anders ben je nog steeds in de aap gelogeerd als er weer eens wat lekt. En dat gebeurt vaak.

Op zich is het gewoon een slecht idee om het huidige BSN te gebruiken voor authenticatie. Daar ligt wat mij betreft de kern van het probleem, niet in het steeds lekken ervan. In landen als Belgie en Spanje hebben ze al jaren e-ID kaarten en dat werkt geweldig: Dezelfde beveiliging als je op je pinpas hebt, heb je dan ook voor je overheids communicatie. Maar in Nederland blijven ze maar aanrommelen.

[Reactie gewijzigd door GekkePrutser op 24 februari 2021 18:36]

Eigenlijk zouden er twee BSN's moeten komen
Een 'normaal' BSN, wat je gewoon voor de normale dingen gebruikt, zoals voor op de jaaropgave en dingen bij bijvoorbeeld de GGD
Eigenlijk heeft de GGD per definitie al niets te maken met een BSN. Voornaam, achternaam en geboortedatum zijn in feite al ruim voldoende en als dat in combinatie met postcode + huisnummer gebeurt ben je er al helemaal. Het is echt niet plots dat er twee Klaasjes woonachtig zijn op één en het zelfde adres met dezelfde geboortedatum.
En dan een 'secure' BSN wat je dan gebruikt bij bijvoorbeeld de bank om een rekening te openen o.i.d.
Jaaropgaven, openen van rekeningnummer zijn allen gebaseerd op maar één BSN. Wat jij dus wilt is nog meer rompslomp want plots communiceert de bank jou 2nd BSN naar de belastingdienst die met jou juist weer communiceert met je 1e BSN.
[...]

Eigenlijk heeft de GGD per definitie al niets te maken met een BSN. Voornaam, achternaam en geboortedatum zijn in feite al ruim voldoende en als dat in combinatie met postcode + huisnummer gebeurt ben je er al helemaal. Het is echt niet plots dat er twee Klaasjes woonachtig zijn op één en het zelfde adres met dezelfde geboortedatum.
Ehm, tweelingen?!
Dit is puur om het probleem van meerlingen te onderscheiden, een wel bekend probleem in de gezondheidszorg waar zeker in het verleden grove fouten mee gemaakt zijn.
En dan hebben we het nog niet over mensen die toevallig dezelfde naam (of initialen) hebben en op dezelfde datum geboren zijn. Dat is mij zelf ook overkomen.

Er is niks mis met het BSN, wel hoe het gebruikt (misbruikt) wordt door de (semi-)overheid.
Inderdaad, de eID zoals in België is een goede oplossing. En een public/private key oplossing zou een goede zijn. Waarbij de private een nieuw aangemaakte BSN is die alleen intern door de overheid wordt gebruikt in de systemen, en een public key (je huidige BSN) die veranderd kan worden per overheidsdienst of als hij uitlekt. Zou "zo" geimplementeerd kunnen worden, maar omdat de mensen die er over gaan in dit land geen verstand van IT hebben, gebeurt het niet.
Yup. Bij ondernemers is het BSN nummer ook gewoon onderdeel van het BTW-nummer, dus er moet sowieso aangenomen worden dat BSN nummers gewoon publieke informatie zijn in plaats van doen alsof het een goed bewaard geheim is.
ondernemers is hier zzp'ers

het is inderdaad veranderd per 1 jan 2020
voor de btw opgave naar de belastingdienst blijft het bsn in gebruik onder de naam omzetbelastingnummer

uit de brief met opgave van mijn nieuwe btw-id nummer
"Wanneer gebruikt u welk nummer?
U hebt nu 2 verschillende nummers, die u allebei nodig hebt:
- Het omzetbelastingnummer gebruikt u voor uw communicatie met de Belastingdienst.
- Het nieuwe nummer, uw btw-identificatienummer, gebruikt u voor uw zakelijke contacten. Dit nummer zet u op facturen en uw website(s) en gebruikt u voor handel binnen de Europese Unie (EU)."



edit: corrigeren typo

[Reactie gewijzigd door c2h5oh op 24 februari 2021 16:26]

Zodra data ééns is uitgelekt is het voor altijd uitgelekt. Tenzij alle BSN's 'vernieuwd' worden heeft deze wijziging dus niet heel veel zin.
Wat is het idee eigenlijk van een klantnummer op zo'n brief? Toont een bedrijf hiermee aan dat ze weten wie je bent? Of dat de brief legitiem van dat bedrijf komt?

Het is gewoon ter referentie, net als altijd. En meestal is het niet echt nodig, of in dit geval niet gewenst. Maar de vraag wat het idee achter een referentie nummer is is een beetje vreemd imho.

[Reactie gewijzigd door StefanDingenout op 24 februari 2021 16:18]

Daarmee kun je eenduidig laten weten voor wie de brief bedoeld is. Als het er niet op staat kunnen mensen allerlei uitvluchten verzinnen en dat mogelijk hard maken bij de rechter als ze bijvoorbeeld een som geld moeten betalen. Door het BSN te vermelden kan er geen twijfel zijn voor wie de brief of vordering bedoeld is.

[Reactie gewijzigd door bytemaster460 op 24 februari 2021 09:05]

Ik verbaas me eigenlijk dat Duo nog steeds brieven stuurt.
Waarom gaat dat ondertussen niet allemaal via de MijnOverheid Berichtenbox?
Juist bij deze doelgroep prima te doen.

[Reactie gewijzigd door sambalbaj op 24 februari 2021 09:24]

Omdat een heleboel mensen dit absoluut niet willen (inclusief mijzelf). Ik ben 100% tegen elke papieren berichtgeving, echter een bericht dat niet bij mij aan komt kan niet gelezen worden.
Die berichtenbox is leuk, maar is niet van mij en dus gebruik ik die niet. Bij een bank net zo, berichten die ze daar in de account achterlaten bereiken mij niet.
Ik heb een e-mail adres waar ik te bereiken ben, een telefoon als iets spoed heeft. Ik ga niet berichten van een andere dienst lezen op hun eigen platform omdat iemand mij wat wil vertellen. Wat als het plotseling eenzijdig gewijzigd wordt?

Resultaat is dat de overheid en haar instanties nog steeds brieven sturen omdat ze niet over willen gaan op het berichten van mensen zelf en het niet te verplichten is om dit digitaal te doen.
En nee, in de mail "Er staat een bericht voor u klaar" is niet hetzelfde als het daadwerkelijke bericht hebben ontvangen.
"Berichten van mensen zelf" zijn nou eenmaal veel te onveilig. Als je de gemiddelde beveiliging van een mailbox ziet, oef.
Dat komt omdat de overheid niet aan de GPG/PGP Privacy Guard wil, ook al wordt dat inmiddels steeds breder en makkelijker ondersteund.

Hoewel crypto exchanges dat in de startup-fase al inbouwen, is dat voor de ICT-faal-overheid waarschijnlijk een miljardenproject, en er zit daar verder niemand creatieve ideeën of kennis van de mogelijkheden.

Beter bieden ze je de keuze om berichten in je inbox te krijgen met Privacy Guard, of je post zelf op moeten halen. Post zelf ophalen op de berichtenbox is een goede fallback voor mensen die hun Privacy Guard sleutel kwijt zijn.
Mensen zijn veels te grote digibeten om ook maar ooit te begrijpen wat GPG/PGP inhoud, dus dat zal hem nooit worden. Denk niet dat het veel met de implementatie te maken heeft. Daarbij zijn de meeste mailboxen nog steeds triviaal open te breken, dus dan heb je alles alsnog ook als de mails versleuteld verstuurd waren. En niemand gaat de moeite doen om dit iedere keer on-demand te ontsleutelen.
Mensen zijn veels te grote digibeten om ook maar ooit te begrijpen wat GPG/PGP inhoud, dus dat zal hem nooit worden.
Heb je wel eens een belastinggids opgehaald bij de belastingdienst? Sowieso, de eerste keren dat ik digitaal aangifte moest doen was ik wel even bezig. GPG is echt niet moeilijk. Met FlowCrypt doe je het in 60 seconden. Steeds meer diensten doen het automatisch (ProtonMail, Mailbox, Mailfence, Countermail etc). Ja, de overheid zal een begeleidend schrijven moeten maken of een online appje om mensen bij de hand te nemen, maar het is in de verste verte geen belastingaangifte. Onderschat de mens niet, zo achterlijk zijn ze ook weer niet. Vergeet niet dat de irritatie met het huidige systeem motiverend werkt, en dat het gaat om het bieden van de mogelijkheid. Je mag ervoor kiezen om bij alle mailboxes van alle instanties langs te blijven gaan (of in sommige gevallen nog papieren post ontvangen).
niemand gaat de moeite doen om dit iedere keer on-demand te ontsleutelen.
Dat hoeft niet on-demand, alleen op elke computer éénmalig. Het is net zoals je op elke nieuw telefoon opnieuw in moet loggen bij Signal of Whatsapp.
Daarbij zijn de meeste mailboxen nog steeds triviaal open te breken, dus dan heb je alles alsnog ook als de mails versleuteld verstuurd waren.
Het maakt niet uit als iemand in je mailbox heeft ingebroken, want de mails zijn onleesbaar, ook nadat je ze geopend hebt.

Maar let wel, laten we nu niet doen alsof die "te grote digibeten" interessant zijn voor Wikileaks. Het zal weinig mensen boeien dat jij in 2021 €180 per maand aan DUO moet betalen, of dat je auto weer naar de APK moet. Vroeger gingen die brieven bij het oud papier, en konden alle mensen in de oud-papier-keten uitlekken dat jouw auto weer naar de APK moest. Die keten werd helemaal niet beveiligd.
Dat hoeft niet on-demand, alleen op elke computer éénmalig. Het is net zoals je op elke nieuw telefoon opnieuw in moet loggen bij Signal of Whatsapp.

[...]

Het maakt niet uit als iemand in je mailbox heeft ingebroken, want de mails zijn onleesbaar, ook nadat je ze geopend hebt.
Het moet dus wel on demand want anders kun je ze niet lezen.

Ik vrees dat je de gemiddelde persoon verschrikkelijk overschat als het aankomt op wat "makkelijk" is als het aan komt op beveiliging en software in het algemeen. Je moet eens wat software ontwerpen en wat user tests doen. Ben je er meteen van genezen... Je moet je voorstellen dat mensen het niet eens voor elkaar krijgen een zin te lezen en op een knop te drukken.
Het moet dus wel on demand want anders kun je ze niet lezen.
Je impliceert dat dit handmatig iedere keer moet gebeuren, en dat is niet zo. Je hoeft ook niet iedere keer dat je Signal opent opnieuw je key in te geven. Je kunt alleen op een nieuw apparaat niet je oude berichten lezen omdat deze de key niet heeft.

Ik begrijp dat het een beetje abacadabra overkomt, maar een goede implementatie hoeft niet begrepen te worden om goed te zijn.
Je moet je voorstellen dat mensen het niet eens voor elkaar krijgen een zin te lezen en op een knop te drukken.
Als er een goede reden is voor deze mensen om dat te doen, dan kunnen ze heus wel een zin lezen en op een knop drukken. Bijvoorbeeld als ze daardoor niet meer bij allerlei instanties hoeven in te loggen om hun post zelf op te halen.

Ik denk dat je de gemiddelde persoon onderschat. Het zou mooi zijn als ze de optie op zijn minst aanbieden, het is namelijk extreem makkelijk te implementeren aan hun kant. 1: Je moet een vakje hebben waar mensen hun public key kunnen opgeven of uploaden. 2: message = openpgp.encrypt(message, publicKeys).
Waar je niet bij stil staat (of aan voorbij gaat) is dat email zo onbetrouwbaar is als het maar zijn kan. Het protocol is in de begin jaren van internet opgezet en is sindsdien nauwelijks gewijzigd. Er is ook nooit echt stil gestaan bij security/encryptie.

Kijk simpelweg naar het transport van een mailtje. SMTP is een plain text protocol en email gaat daar doorgaans in plain text overheen. Ook passeert het mailtje vaak meerdere mailservers en op elke mailserver wordt het (tijdelijk) op disk opgeslagen en uiteindelijk land het in plain-text op de pop/imap server van jouw mail-provider.

Natuurlijk zijn er in het verleden wat pleisters geplakt, zo kun je in plaats van plain-text SMTP, POP of IMAP ook vaak verbinding maken met een beveiligde poort met SSL encryptie. Maar als je een mailtje verstuurt dan kun je niet aangeven dat hij enkel over SSL-encrypted verbindingen mag. En al zou dat zo zijn dan kun je niet met zekerheid zeggen dat elke mailserver zich daar aan houdt. (Een standaard SMTP server kijkt enkel naar de FROM en RCPT TO headers).

Ook is het mogelijk om de mail zelf te versleutelen via S/MIME of PGP. Maar dan zit je er weer mee dat de ontvanger een private key heeft en de afzender de bijbehorende public-key kent. Los van het feit dat het lastig is om zo'n uitgebreide PKI omgeving op te zetten voor alle burgers/klanten die een overheid of bedrijf heeft, zit je ook nog eens met een uitdaging hoe je dat gaat doen bij webmailproviders zoals Outlook of Gmail. Waar staat de private-key? Of gaat iedereen die massaal naar Google uploaden?!

Los van encryptie is email ook nog eens niet-gegarandeerd. Iedere mailserver is vrij om mails te filteren en de ene is daar beter in dan de andere. Dus je hoeft niet gek op te kijken als je wel porno-spam krijgt, maar dat het mailtje van je vriend(in) niet doorkomt. De afzender kan ook niet met zekerheid vaststellen of een mailtje wel is aangekomen. In sommige gevallen kunnen ze wel iets als een leesbevestiging implementeren, maar dat biedt ook geen garantie.

Zo gek is het dus niet dat verschillende organisaties jouw berichten via een eigen berichtenbox sturen. Op die manier hebben ze de garantie dat een mailtje op een veilige manier in die box is aangekomen en kunnen ze ook beter controleren of jij dat mailtje gezien hebt. De server hebben ze doorgaans in eigen beheer of uitbesteed in een partij die ze vertrouwen.

Dus je kunt wel gaan stuiteren over de berichtenbox van de overheid, maar ik ben blij dat ze op dat vlak tenminste eens hebben nagedacht. En dat ik niet een berichtenbox van de gemeente, een van de provincie, een van het waterschap, eentje van de belastingsdienst, eentje van .... heb, maar dat alles in een gezamelijke box terecht komt. En wat mij betreft mag de bank zijn berichten daar ook wel naar toe droppen.

Alles beter dan een overwerkte postbode die jouw post maar even ergens in de bosjes achter laat... En ik spreek uit ervaring, bij mij is eens een 'Dwangbevel in naam der koningin' binnen gekomen omdat de post inclusief de belastingsbrieven meerdere malen ergens werden gedumpt. (Later kregen we zo'n zakje van PostNL met een paar half-vergane poststukjes in de bus. Maargoed, maak dat de fiscus wijs...)
Ik ben het volledig met je eens m.b.t. beveiliging, ben zelf ook bekend met hoe e-mail werkt op protocolbasis en hoe alles (niet)beveiligd wordt in de huidige samenleving wat betreft mail systemen.

Wat mij betreft gaat het hier om het zoeken van een correcte oplossing voor een probleem (het berichten van mensen), dat is vanuit de basis altijd via post gegaan en dit wordt nog steeds als veilige terugvalbasis gezien (terwijl het alles behalve veilig is).

Dat zo'n berichtenbox lekker makkelijk is voor de overheid begrijp ik, maar het verandert de actie van "Overheid informeert inwoner" naar "Overheid plaats bericht in eigen systeem, inwoner moet het ophalen, inwoner moet veilig stellen".

Of het nou via e-mail (onveilig), post (onveilig) of een andere manier gaat maakt mij (op dit moment, bij gebrek aan beter) niet uit, zo lang het bericht in bezit van de inwoner komt, niet de overheid. Ik ben 100% voor digitaliseren, maar het resultaat moet (vind ik) hetzelfde blijven.
Als dat betekent dat er een blockchain applicatie (ik noem maar even wat) of iets anders komt om de berichten wel veilig bij je te krijgen en in jouw bezit komen, direct op het scherm van de PC, juich ik dat alleen maar toe.
De berichtenbox is in mijn ogen niet de oplossing en zal deze zelf ook echt niet gaan gebruiken, want het is niet mijn bezit, ik moet er weer extra acties voor ondernemen en zelf gaan opslaan om erger te voorkomen.
Ook is het mogelijk om de mail zelf te versleutelen via S/MIME of PGP. Maar dan zit je er weer mee dat de ontvanger een private key heeft en de afzender de bijbehorende public-key kent. Los van het feit dat het lastig is om zo'n uitgebreide PKI omgeving op te zetten voor alle burgers/klanten die een overheid of bedrijf heeft, zit je ook nog eens met een uitdaging hoe je dat gaat doen bij webmailproviders zoals Outlook of Gmail. Waar staat de private-key? Of gaat iedereen die massaal naar Google uploaden?!
Toch lijkt PGP me de enige juiste oplossing voor dit probleem. Het is heel irritant dat je bij 4 verschillende instanties je berichten op moet halen. Geef mensen de keuze berichten te ontvangen als ze hun public key geven. De online berichtenbox is een goede fallback. PGP wordt steeds makkelijker. Thunderbird ondersteunt het gewoon. Outlook heeft een plugin. Voor gmail gebruik ik Flowcrypt.

Bij crypto exchanges ondersteunen ze het ook vaak. De implementatie is niet moeilijk. Het verschil is dat er bij cryptobedrijven wel vaak mensen werken die een idee van de mogelijkheden hebben. Bij overheidsinstanties en verzekeringsmaatschappijen niet.

Het wordt tijd dat een partij met kennis op dit gebied bij de verkiezingen tenminste 1 zetel haalt.

[Reactie gewijzigd door Redsandro op 24 februari 2021 17:05]

Wat jammer is is dat sommige organisaties (UWV) in de berichtenbox van MijnOverheid alleen maar een bericht plaatsen dat er in de berichtenbox van Mijn UWV een bericht klaar staat.

Dus ik krijg een mail dat er wat bij MijnOverheid staat, moet daar inloggen met DigiD om te zien dat er een bericht bij UWV staat, en dan daar inloggen voor het echte bericht.

Als ik de stap van MijnOverheid over sla omdat ik weet dat daar niets zinnigs staat krijg ik later weer een mail dat er nog een ongelezen bericht staat.

Wat mij betreft zou het verplicht moeten zijn dat berichten in MijnOverheid gewoon het feitelijke bericht of bestand bevatten.
Ik ga grotendeels mee met je verhaal, maar je krijgt uiteraard keurig een e-mail wanneer er een bericht in je berichtenbox staat. Dus de kans dat een bericht niet aankomt of niet gelezen wordt is net zo groot als wanneer een fysiek poststuk niet aankomt door een probleem/fout bij PostNL.

Edit: en uiteraard geldt ook voor je e-mailadres dat je een wijziging moet doorgeven. Een fysieke verhuizing moet je ook doorgeven, dus ik zie het verschil niet.

[Reactie gewijzigd door Polydeukes op 24 februari 2021 10:43]

Dat is ook al wat ik heb aangegeven, er komt een bericht binnen dat er een bericht klaar staat, dus niet het bericht zelf. Vervolgens moet ik zelf dat bericht gaan lezen op systemen van iemand anders waar ik geen controle over heb.
Een bericht moet bij de ontvanger binnen komen en daar eigendom zijn. Even gechargeerd, als er een pakket verstuurd moet worden krijg ik een e-mail dat er een pakket klaar staat en of ik die even op kom halen, terwijl de verzendplicht bij de verzender ligt. Vervolgens kom ik voor dat pakket en dan blijkt dat ik het pakket niet zelf mee mag nemen en alleen een foto er van mag maken.
Ik vind persoonlijk dat er wel een verschil is tussen de fysieke wereld en de digitale wereld, dus een vergelijking gaat al gauw mank. Al is fysiek naar de winkel toe gaan, of zelfs een pakket afhalen bij een afhaalpunt vergelijkbaar met een bericht ophalen uit een digitale inbox.

Het voordeel van de berichtenbox, is dat je er redelijkerwijs van uit kunt gaan dat het bericht authentiek en betrouwbaar is en er niet mee gerommeld is. Een mailtje met een bijlage bevat allerlei potentiële risico's. Overigens, als je bijv. een Gmail-account hebt, wie is dan eigenaar van de berichten in de inbox? Jij of Google?

Edit: typo

[Reactie gewijzigd door Polydeukes op 24 februari 2021 14:30]

Dat je er van uit kunt gaan vind ik hier een gevaarlijke, wat als dat bericht toch ineens achteraf aangepast is? Je hebt geen poot meer om op te staan. Als een bericht bij mij in bezit is en er wordt wat gewijzigd, kan ik aantonen dat er mee gesjoemeld is.

De reden dat ik dit zo specifiek noem en mij er hard voor maak is dat ik zo'n zelfde geintje al met een verzekeringsmaatschappij heb gehad (mag je ook van verwachten dat het authentiek is), in mijn account daar stond de polis, die was alleen digitaal. Ik heb voor de zekerheid een screenshot er van gemaakt. Toen was er schade, ik naar de verzekering, "Nee meneer, dat is niet gedekt volgens uw polis". Huh?!
Hebben ze dus éénzijdig in het portaal mijn polis aangepast terwijl de publicatiedatum er nog op stond van het origineel, als ik die screenshot niet had gemaakt was ik nat gegaan, uiteindelijk goed afgelopen.

De Google account is gewoon eigendom van Google (helaas), echter als je de mail correct hebt geconfigureerd zijn de mails wel voor altijd in jouw bezit en die kunnen niet afgepakt/.gewijzigd worden. Dus ik heb daar iets minder problemen mee, als je de risico's af kunt vangen.

[Reactie gewijzigd door drocona op 24 februari 2021 14:38]

Ik denk dat u de berichtenbox dan niet zo goed kent. Als er bericht voor je is, dan is dat gewoon een PDF die je kunt downloaden of naar jezelf kunt mailen. Dus je hoeft niet moeilijk te doen met screenshots of wat dan ook. Uw persoonlijke ervaring met de verzekeraar is overigens strafbaar. Ik neem aan dat u er een zaak van hebt gemaakt?
Ik ken de berichtenbox inderdaad niet, zoals ik al zei, alles wat daar in komt lees ik niet (geen idee of je er standaard eentje krijgt of dat je moet aanmelden? Toen het nieuw was heb ik mij bewust niet aangemeld).
Blijft het feit dat ik berichten op moet gaan halen voordat ik er een kopie van heb (en laten we eerlijk zijn, hoeveel mensen nemen überhaupt de moeite?), terwijl een bericht gewoon bij mij binnen moet komen.

Met de verzekeraar is alles netjes geregeld, al vraag ik mij wel af hoe vaak dit soort praktijken voor komen zonder dat mensen het door hebben. Daarom zeg ik ook, vertrouw nooit iets wat je niet zelf bevestigd in eigendom hebt, ook al is het de overheid.
Zelf ben ik ook geen fan van de berichtenboxen maar er is wel een goede reden waarom de overheid en verzekeraars hier gebruik van maken.

Voor papieren post hebben we een postwet die domweg stelt dat als je als verzender aannemelijk kunt maken dat de brief verzonden is de brief ook aangekomen is. Als ontvanger kan je je dus niet verschuilen achter ""ik heb hem niet ontvangen". Eigenlijk is het betrouwbaarheids issue van fysieke post hier juridisch op het bordje van de ontvanger gelegd.

Bij mijn weten geldt dat principe niet voor email. Met een digitale berichten box worden de onzekerheden rond ontvangst van berichten op een technologische manier aangepakt. Na plaatsing in de box is zeker dat het bericht op de juiste plek is aangekomen bovendien kan de organisatie (Rijk/verzekeraar) zien of je een brief gelezen hebt. Je bent bovendien wettelijk verplicht om regelmatig je box te controleren op nieuwe post. Op deze wijze is ontvangst op een meer technologische ipv juridische wijze geborgd.
DUO/het Rijk heeft wettelijk/beleidsmatig de verplichting om ook een papieren klant kanaal open te houden. al willen velen daar liever vanaf.

De doelgroep van DUO is trouwens breed. Niet alleen studenten, ook ondermeer ouders, terugbetalers,en inburgeraars zijn klant. Dat zijn niet allemaal digital natives.
Die overheidberichtenbox is heel erg irritant. Als je daar een bericht ontvangt, dan moet je veel te veel handelingen verrichten omdat bericht te lezen. Inloggen met DigiD, wachtwoord zoeken, tweefactorauthenticatie, en uiteindelijk kun je naar je bericht wat dan een pdf blijkt te zijn die je eerst moet downloaden.

Een papieren brief maak je open en je weet meteen wat de overheid je te vertellen heeft, veel makkelijker.

Voor gevoelige informatie is dit nog wel okee, maar als mijn auto weer voor de APK moet dan wil ik ook wel gewoon een pdf’je per e-mail krijgen.
Of nog leuker, ik heb twee kinderen met dezelfde achternaam en dezelfde initialen. Post voor heen komt dus identiek geadresseerd aan.

Dan is een BSN wel handig om te zien voor welke van de twee het nu bedoeld is.

Of ze het huis uit trappen..
Of ze niet dezelfde initialen geven :+
Dat adviseert elke half competente verloskundige wel, maar er zijn altijd eigenwijze ouders. Vooral lachen bij tweelingen, de rest van hun administratieve leven...
Ik kende een Jasper met een tweelingbroer Joris op dezelfde universiteit. Je zou denken dat die BSN gebruiken voor de inschrijving, maar toch wisselden ze bijna elk jaar met elkaar van studie.
Ik ben ook een tweeling en mijn voornaam begint met dezelfde letter als de voornaam van mijn zus. Gelukkig hadden mijn ouders mijn eerste en tweede naam omgedraaid dus op papier heb ik een andere voorletter. Scheelt veel gezeik.
Of ze niet dezelfde initialen geven :+
Ze zullen verschillende voornamen hebben.
Maar vroeger was het bij katholieke gezinnen gebruikelijk om de kinderen te vernoemen naar de opa's en oma's. Vaak werd als eerste voornaam die van de ene opa gebruikt, en als tweede voornaam die van de tweede, en bij het tweede jongen omgekeerd.
Dan kreeg heetten de twee broertjes dus zoiets als Johan Jozef Maria en Jozef Johan Maria.
Deed je dat niet, de grootouders vernoemen, dan waren die boos.
De generatie van mijn ouders (babyboom) hebben in de RK-traditie allemaal minimaal 3 of 4 voornamen, waarvan met name de 2e en 3e naam verwijzen naar de grootouders. De eerste voornaam mag echt wel afwijken en een 'eigen' naam zijn. Wat natuurlijk wel veel voorkwam is dat Jan senior het liefst zijn zoon "Jan junior" noemde, maar ook toen waren mensen al gevoelig voor naamtrends en koos men (voor die tijd) moderne voornamen, mits hij/zij maar enigszins leek op een naam uit de bijbel. Dat laatste werd ook nog wel omzeild door te kiezen voor een doopnaam en een roepnaam. Zo ken ik een "Anna Petronella" roepnaam "Nadine", om het ingewikkeld te maken 8)7
De generatie van mijn ouders (babyboom) hebben in de RK-traditie allemaal minimaal 3 of 4
Mijn voorbeelden hadden er 3, bewust allebei J.J.M. Wat ook voorkwam is dus Johannes Barend Maria en Barend Johannes Maria, of ook varianten met Maria in het midden.
Die 4 voornamen kwamen voor, maar minder vaak dan 3, eigenlijk alleen maar in bepaalde groepen.
Maar ook dan kun je 4 gelijke voorletters hebben.

Ook bij protestanten was het vernoemen naar de grootouders trouwens gebruikelijk.
voornamen, waarvan met name de 2e en 3e naam verwijzen naar de grootouders.
Bij mijn weten vooral de eerste naam, en dan ofwel de tweede, ofwel de derde want de andere was bij een echt goede katholiek natuurlijk Maria.
De eerste voornaam mag echt wel afwijken en een 'eigen' naam zijn.
Ja vanaf het derde jongetje of derde meisje, maar eigenlijk alleen als dat dan al het 5e kind was.
Wat natuurlijk wel veel voorkwam is dat Jan senior het liefst zijn zoon "Jan junior" noemde,
Daar heb ik nooit veel van meegekregen. Ja de laatste vijf jaar als er dergelijke personen in het nieuws kwamen, en er dus een referentie was naar vader en zoon. Ik denk dan aan personen zoals Arie Luyendyk en Arie Luyendyk jr., Max Moszkowicz Sr. en Max Moszkowicz Jr. maar ook aan criminelen die het nieuws haalde. Het blijven echter uitzonderingen, vernoemen naar opa (en voor meisjes naar oma) was de norm, al waren er ook altijd die dat niet wilden.
maar ook toen waren mensen al gevoelig voor naamtrends en koos men (voor die tijd) moderne voornamen, mits hij/zij maar enigszins leek op een naam uit de bijbel.
Als men een naam koos die niet al voorkwam in de familie, dan is dat is iets dat de kerk vervolgens oplegde. Dan zag je dat er bij de gemeente en bij de kerk verschillende namen geregistreerd waren.
Dat laatste werd ook nog wel omzeild door te kiezen voor een doopnaam en een roepnaam. Zo ken ik een "Anna Petronella" roepnaam "Nadine", om het ingewikkeld te maken
Ja dat kwam ook wel incidenteel voor. In de kerk werd dan echter steevast de doopnaam gebruikt, de roepnaam thuis en op school - mits die school dan geen katholieke was.
heetten de twee broertjes dus zoiets als Johan Jozef Maria en Jozef Johan Maria.
Nou, Dat was prima op te lossen geweest met een Johan Jozef Maria (JJM) en een Jozef Maria Johan (JMJ), zodat ze niet hun hele leven allerlei ellende hebben met post en instanties.

En Marie Jansen en Mark Jansen hadden ook best Marie Esther Jansen en Mark Onno Jansen kunnen heten, bijvoorbeeld
Die tweede naam gebruik je misschien bijna niet meer, maar die initialen heb je profijt van.

Mijn kind heeft twee extra namen, zodat hij tenminste mooie initialen heeft, en er ook wat vernoemingen/verwijzingen in kunnen, die hij in de dagelijkse praktijk met zijn eerste voornaam niet hoeft mee te dragen.
Nou, Dat was prima op te lossen geweest met een Johan Jozef Maria (JJM) en een Jozef Maria Johan (JMJ), zodat ze niet hun hele leven allerlei ellende hebben met post en instanties.
Volgens mij ligt dat toch echt aan die instanties, die te veel schrappen in hun data. Als men de volledige eerste voornaam in de administratie opneemt, dan ben je al een heel eind, ook al gebruik je die niet in de aanhef. Iedere database-bouwer weet ook dat je dat je een unieke sleutel in je tabel moet opnemen, en dat in deze een naam niet uniek genoeg is.

En zodra Johan en Jozef volwassen zijn en zelfstandig gaan wonen, hebben ze verschillende adressen en moet hier geen enkel probleem mee mee zijn.
En Marie Jansen en Mark Jansen hadden ook best Marie Esther Jansen en Mark Onno Jansen kunnen heten, bijvoorbeeld
En dan, er zijn best veel mensen die als familienaam De Vries of Jansen hebben, en als er nou op één dag in het ene gezin een jongen geboren wordt die ze besluiten Jan te noemen, en in een ander niet gerelateerd gezin Jansen aan de andere kant van het land ook een jongen geboren wordt die Jan genoemd wordt, wat de twee families niet weten, omdat ze elkaar niet kennen, dan heb je hetzelfde probleem alsnog, nu hebben ze bij geboorte verschillende adressen, maar als ze bijvoorbeeld beiden gaan studeren in Utrecht, misschien zelfs in hetzelfde studentenhuis terecht komen, ...
Die tweede naam gebruik je misschien bijna niet meer, maar die initialen heb je profijt van.
Klopt, ook al daarom zou ik minimaal twee voornamen geven. Nog een manier is om, zoals in het Spaanse systeem de moeders meisjesnaam als middle name te gebruiken.
Mijn kind heeft twee extra namen, zodat hij tenminste mooie initialen heeft, en er ook wat vernoemingen/verwijzingen in kunnen, die hij in de dagelijkse praktijk met zijn eerste voornaam niet hoeft mee te dragen.
Mijn zoon en dochter hebben allebei 5 voornamen, mijn zoon is met zijn tweede en vierde naam vernoemd naar mijn vader, en naar mijn grootvader, en mijn zoon is vernoemd naar mijn zus, want mijn moeder wilde niet met haar officiële naam vernoemd worden, en mijn beide oma's hadden ook een voornaam die we tegenwoordig vreemd vinden.
Of addresseren op volledige naam :+
Of ze niet dezelfde initialen geven :+
Niet iedereen is zo slim
Je had beter 'Semantic Versioning' kunnen toepassen!

[Reactie gewijzigd door zork op 24 februari 2021 09:33]

Dat lijkt mij sterk, winkels hoeven dit ook niet te doen op een incasso.
Winkels mogen dat niet, overheidsinstellingen en zorginstellingen MOETEN het. Er hangen strikte eisen aan het gebruik van het BSN. Sommige instellingen MOETEN het communiceren, anderen mogen het niet communiceren.
dat is precies mijn punt. een winkel kan ook vorderen (met o.a. deuwaarder) zonder BSN. daarom lijkt het mij ook niet nodig dat er gebruik is gemaakt van BSN.

als ik me bij de huisarts meldt, die vraagt om geboortedatum en naam en is dan voldoende. de kans dat iemand met de zelfde voor en achternaam dezelfde studie doet op dezelfde school op hetzelfde adres is nihiel en is verwaarloosbaar. kortom deze brief is ook zonder BSN wel aan de juiste persoon te richten.
Een klantnummer ter referentie op een brief zetten is prima. Die is bij elk bedrijf anders, weet je vaak niet, is voor het bedrijf handig als je contact met ze opneemt en daar kan verder niemand wat mee.

Een BSN moet je zelf al weten en is daarnaast privacygevoelig volgens de overheid (=DUO), dus dat moet gewoon niet zomaar op een brief gezet worden zonder goede reden.

Daarmee is de vraag van @erikieperikie zeker terecht. Waarom doen ze dit in hemelsnaam überhaupt?
Je BSN is je klantnummer bij de overheid.
Maar het is niet vergelijkbaar te behandelen als een klantnummer, zoals verplicht door die dezelfde overheid.

Verder MOET je je BSN weten, waar je een klantnummer NIET hoeft te weten, dus is het niet logisch dat die op een brief staat in de eerste plaats.
Je MOET je BSN helemaal niet weten...daarom staat hij op je ID bewijs (of op brieven van de DUO :+ )

Ben het wel met je eens dat het niet vergelijkbaar is met een klantnummer...want het risico gevolg van het lekken van een BSN is vele malen groter dan die van het gemiddelde klantnummer (identiteitsfraude vs 2 maanden een duurder abonnement bij Ziggo hebben bijv.)

Edit: gevolg, geen risico... :+

[Reactie gewijzigd door MrR0b3rt op 24 februari 2021 13:33]

Nou, bijvoorbeeld mijn vader en ikzelf hebben dezelfde voorletters. Een bsn kan hier duidelijk maken voor wie de brief bedoeld is. Is het de beste methode? Ik denk het niet, maar anders moeten ze er toch andere gegevens opzetten zoals geboortedatum of weet ik veel wat. Dus er zal altijd een privacy gevoelig detail op moeten.
Nou, bijvoorbeeld mijn vader en ikzelf hebben dezelfde voorletters. Een bsn kan hier duidelijk maken voor wie de brief bedoeld is. Is het de beste methode? Ik denk het niet, maar anders moeten ze er toch andere gegevens opzetten zoals geboortedatum of weet ik veel wat. Dus er zal altijd een privacy gevoelig detail op moeten.
Waarom niet gewoon je volledige naam neerzetten?

[Reactie gewijzigd door Chrotenise op 24 februari 2021 10:04]

Valt ook onder privacy gevoelige gegevens.
Dat je Jantje Jansma heet is toch echt een stuk minder privacygevoelig dan je BSN nummer...
Dat verschil maakt voor de wet echter niet veel uit.
Voor jou als getroffene van het datalek wel, wat het onderwerp is dat ik aankaartte.

[Reactie gewijzigd door Chrotenise op 24 februari 2021 13:56]

Voor sommige bedrijven kan een klantnummer heel handig zijn. Als je dan vragen hebt over de brief kun je even bellen. Op basis van het klantnummer kan de medewerker je hele dossier vinden en daarbij alle relevante informatie.

Tenminste, dat is het idee. Alles staat of valt natuurlijk bij een competente uitvoering. En de opzet moet wel passen bij de situatie.
bedankt dat je me vertelt wat ik zelf al benoemd had?
Ben deze structurele ICT incompetentie bij overheids diensten meer dan zat. Het is redelijk complex, maar geen rocket science, en dit doen we weer al een paar jaar.

Recentelijk ging het weer fout.
Om dit nou ook al Ict incompetentie te noemen...dit is naar mijn mening gewoon huis tuin en keuken incompetentie die je zeker niet alleen bij de overheid aantreft.

De overheid meldt het alleen altijd netjes en komt daardoor steeds negatief in het nieuws (op zich terecht, maar het beeld dat de overheid een alleenrecht heeft op incompetentie en dat alles alleen daar steeds fout gaat klopt naar mijn mening niet).
Bedrijfsleven is ook gewoon verplicht datalekken te melden.

De overheid heeft ook een stuk meer privacygevoelige informatie dan het gemiddelde MKB bedrijf, heeft de mogelijkheid om mensen hiervoor te trainen, experts in huis EN custommade software die dit soort dingen by design zou moeten voorkomen.

Als er één partij is die weinig in het nieuws hoort te komen voor dit soort perikelen, is het de overheid.

[Reactie gewijzigd door Chrotenise op 24 februari 2021 13:20]

NL overheid die nooit liegt of informatie achterhoud?

Onder welke steen leef jij?

En je bent zeker dingen als dure en falende overheid ICT projecten, zoals C2000, ICT bij de Poltie, belasting dienst?
Nederlandse overheid is verre van perfect maar doet het over het algemeen best netjes, zeker met het melden van dit soort dingen.

En er zijn best veel projecten misgegaan bij de overheid, absoluut waar. Het overheid heeft daar echter echt geen monopolie op hoor, alleen bij de overheid komt het altijd groots in het nieuws. Als een groot project bij een multinational mislukt hoor je daar nauwelijks wat van.

De overheid mag best wat strenger bekeken worden omdat ze met belastinggeld werken, maar ik volgens mij gaat er echt niet zoveel meer mis dan in andere grote organisaties.

p.s. beetje vriendelijker mag ook wel hoor. Zonnetje schijnt, neem lekker een kopie koffie en relax ;)
Dit heeft toch niks met ICT te maken? Dit is gewoon een regel (waarop het BSN staat) die een paar regels te hoog in de brief staat, waardoor deze leesbaar is in het venster.

Of is in jouw ogen elke secretaresse die Word gebruikt een ICT-er?
Lijkt me dat DUO je BSN wel nodig heeft om (voor jou) te communiceren met het BRK-register en de andere overheidsorganisaties, maar die hoeft inderdaad niet op de brief te staan. Een referentienummer dat je terug kan zoeken op de DUO website zou verder al voldoende zijn als je wil bevestigen dat het inderdaad een officiële brief van DUO is.
Als het goed is heeft DUO niets met het BKR te doen.
DUO heeft echter wel iets van doen met bijvoorbeeld gemeenten. Nu nog niet op grote schaal, maar met de nieuwe wet inburgering per 01-01-2022 moeten alle gemeenten berichten uit kunnen wisselen met DUO. Dat gebeurt overigens op dezelfde manier als het huidige berichtenverkeer bij Jeugdwet en WMO.

Daarnaast zijn er nu ook al situaties waarbij gemeenten DUO raadplegen voor specifieke informatie over mensen. Daarvoor is BSN de logische sleutel om op te zoeken. Het is alleen niet logisch dat dit nummer terugkomt in brieven of enig andere vorm van correspondentie.
En DUO levert ook de inschrijvingen van de scholen voor de Leerplichtwet, en verzuim en ......... DUO doet veel meer dan de meesten denken.
En DUO levert ook de inschrijvingen van de scholen voor de Leerplichtwet, en verzuim en ......... DUO doet veel meer dan de meesten denken.
Typisch geval van function creep. Destijds, toen het als Informatie Beheer Groep Informatiseringsbank is opgericht, moest het alleen de studiefinanciering afhandelen, en dat ging destijds helemaal niet goed.

offtopic:
edit naar aanleiding van @dok33's en @netman's reacties.

[Reactie gewijzigd door BeosBeing op 25 februari 2021 11:55]

Je bedoelt misschien de Informatiseringsbank?

De IBG en DUO hebben die ruimere opdracht altijd wel gehad. Dienst Uitvoering Onderwijs is ook wel duidelijk een ruimer begrip dan alleen een bank zijn.
Je bedoelt misschien de Informatiseringsbank?
Bij mijn weten is IBG de latere naam van de Informatiseringsbank. Dat er met die naamsverandering een "ruimere opdracht" aan is toegekend, is best mogelijk.
Die gevallen zijn er. Ik heb tot 2 maal toe apothekersrekeningen gehad terwijl ik toen al meer dan 15 jaar geen huisarts meer had bezocht. Tussen die 2 gevallen zat circa 2 jaar....

Bleek dat er iemand met dezelfde geboortedatum en naam bestond als ik zelf. Daar waren de rekeningen voor bedoeld.

Wel slordig want ik kon precies zien welke medicatie er werd gebruikt etc.

[Reactie gewijzigd door cpt Iglo op 24 februari 2021 08:38]

Maar kwam die persoon ook op jouw (evt. vorige) adres te wonen, of jij op het adres van die persoon? Heeft die persoon zich ingeschreven met jouw BSN (ik mag het niet hopen)? De aanname van de apotheek dat die persoon dezelfde was als jij is een beginnersfout waar je in de zorg over leert hoe dit te herkennen/voorkomen.

Dat heeft niets te maken met het plaatsen van een BSN op een brief aan jou. Dan is het al te laat: de fout is dan al gemaakt maar de controle leggen ze bij jou neer? Dan zijn je gegevens zoals medicijngebruik (gestuurd aan de verkeerde) of je BSN (zichtbaar in het adresvenster) al gelekt!

[Reactie gewijzigd door erikieperikie op 24 februari 2021 09:17]

Nee je hebt gelijk. Het adres was ook niet hetzelfde. Sterker nog de apotheek was ook niet hetzelfde want we wonen allebei in een andere provincie. Maar laat maar eens zien dat met de wet van de grote getallen toevalligheden kunnen ontstaan.

Maar theoretisch is het dus mogelijk dat die andere persoon mijn huis koopt en dan heb je toch een situatie waarvoor je systeem dan niet is ingericht. Hoe klein deze kans ook is.

Sowieso vind ik dat BSN zo min mogelijk gebruikt moet worden. Hoe vaker je het gebruikt hoe eerder het fout gaat.
Namen zijn niet uniek, je BSN wel.
Wat is het idee eigenlijk van het BSN op zo'n brief?
Volgens mij deden ze dat 30 jaar geleden al, toen BSN nog So-Fi-nummer heette, en DUO nog Informatie Beheer Groep.
Of zijn er gevallen dat je op hetzelfde adres meerdere Jan de Vries hebt wonen met dezelfde geboortedatum die zich alleen maar kunnen onderscheiden a.d.h.v. BSN?
De TU Eindhoven had desttijds twee studentes ingeschreven, een tweeling waarvan de ene chemie deed en de andere als ik het me goed herinner bouwkunde. Als tweeling zijnde hadden ze uiteraard dezelfde geboortedatum, en hoewel ze verschillende voornamen hadden, hadden ze ook dezelfde voorletters.
De TuE kon daar destijds dus geen onderscheid in maken. Studiepunten van de ene werden op naam van de ander gezet, enzovoorts.
Je hebt zo iets als tweelingen met dezelfde voorletter.
Ik ben geen wappie maar voor mij is die B voor die ene dienst die altijd aan het langste eind trekt , woorden die naast Burger ook met B beginnen hmmm Blauw, Bel.. etc ;) ;) ;)
Het is technisch gezien een datalek, maar wel een erg onschuldige. Je moet dus de fysieke papieren brief in je handen hebben om het adres te lezen en (met moeite) het BSN nummer. De 1700 brieven zijn ook nog eens door heel Nederland verstuurd. Dus wie zou de gegevens kunnen zien, verzamelen en misbruiken? De lokale postbode zou hoogstens 2-3 van deze 'verdachte' brieven bezorgen tussen de duizend(en) andere stukken post die door zijn handen gaan. Het sorteren van de brieven gaat machinaal.

Bij een datalek gelden drie eisen; de data is persoonsdata; deze wordt (per ongeluk) openbaar gemaakt en kan bij een derde terecht komen. Ik mis in dit verhaal een beetje hoe de data bij een derde terecht kan komen; moet de postbode dan handmatig het nummer overschrijven van de enveloppe?
Inderdaad, ik vind het risico op een daadwerkelijk datalek in dit geval ook wel erg klein. Het is natuurlijk wel zo dat alle post gescand wordt (bijvoorbeeld zodat je in de Postnl app kunt zien of er post aankomt), maar dat is natuurlijk niet openbaar toegankelijk en dan moet er dus bij Postnl iemand zijn die de data gaat lekken...
Ow, erg Klein... dus als jouw baas jouw bsn lekt.. is het geen probleem?
Ik zeg ook: 'in dit geval'. Alleen de postbode kan het nu zien van alleen de brieven die hij bezorgt. Dat noem ik een klein risico.
Wie zegt dat die postbode niet snel foto’s ervan maakt?
Onschuldig? Ze waren LEESBAAR IN HET VENSTER! Dus IEDEREEN kon DE GEGEVENS lezen waarmee je ID fraude kan plegen...
Wat Theo nog vergeten heeft te melden wat betreft een datalek is de kans dat personen er schade van ondervinden.

Een BSN is een bijzonder persoonsgegeven, en het kan misbruikt worden. Maar de kans dat dat hier gebeurd is echter klein.
Het zijn eigenlijk alleen de postbodes geweest die de gevens hebben gezien. En dan ook nog maar een zeer klein gedeelte per postbode. Namelijk alleen de mensen in hun gebied.
Als een postbode toevallig dat nummer in het venster ziet dan is de kans zeer klein dat die er fraude mee gaat plegen. Er zijn wel eens vaker dingen in het venster te zien anders dan naam en adres. Daar kijken postbodes natuurlijk al lang niet meer naar. (na de eerste week vind je dat vast niet meer interessant om naar te kijken)

Theo verwoord het wellicht niet op de handigste manier. Maar de kans dat er in dit geval schade word geleden is daadwerkelijk klein.

Of denk jij soms dat vele postbodes criminelen zijn die meteen die gegevens gaan misbruiken?
Die heb je er helaas tussen zitten omdat ze worden onderbetaald door monopolist PostNL.
Dat vind ik nogal een dubieuze uitspraak dat je onderbetaalde/slecht betaalde mensen zomaar verdenkt dat ze sneller criminele dingen gaan doen.

Maar als je dat daadwerkelijk denkt, dan daag ik je uit om in te schatten hoe groot de kans is dat er daardoor schade is voor een van de betrokkenen.
Ik geef aan dat de kans klein is, Theo zegt erg klein. Wat schat jij dan in als je het niet met ons eens bent?
Ik had geen toegang tot die brieven. Jij?

Niet iedereen dus.
Niet iedereen nee, maar er hoeft maar 1 gek tussen te zitten en je hebt ellende.
Hoe vaak moeten deze blunders nog doorgaan?! Bij overheid... maar ook andere instellingen.

Ja, er wordt melding gemaakt van een datalek bij de AP. En misschien een boete. En als het tegenzit een berisping van diegene die hier verantwoordelijk voor is ("foei, niet meer doen"), of misschien ontslag in ernstige gevallen.

Alleen... de individuen waarbij het gelekt is (hier de 1700 personen), staan nog steeds in hun hempje en kunnen ID-fraude en wat nog meer 'tegen zich' krijgen.

Wellicht volkomen voorkomen van dit soort gevallen zou een utopie blijken/blijven (helaas), maar een fikse schadevergoeding richting gedupeerden zou mij niet vreemd klinken. Wat is de prijs? Afhankelijk van instantie c.q. omzet, maar met wel met een minimumbedrag (zeg €1000 per individu). Standaard. Geen procedures hiervoor hoeven volgen.
Dit zorgt wel voor meer bewustwording en een soort "privacy by default"-denken... (of je moet kunnen aantonen dat je er als organisatie alles aan gedaan hebt om dit te voorkomen).

In dit specifieke geval lijkt het me dat het BSN-veld is opgenomen in een layout van de brief - en hier is m.i. dus iemand nalatig geweest.
Zolang er mensen werken.

We zijn dol op blunders want dan mogen we klagen. Al die miljoenen brieven waar het BSN wel verstopt was hoor je niemand over.
Al die fouten die worden ontdekt en opgelost voordat het uit de hand loopt hoor je niemand over.

Negatief nieuws over anderen is leuk want dat voelen wij ons beter.

[Reactie gewijzigd door Schway op 24 februari 2021 10:16]

Heb jij nog nooit fouten gemaakt?

En tenzij er opzet in het spel is hoop ik echt dat de persoon die de fout gemaakt heeft niet gestraft wordt. Fouten dienen om van te leren hoe je ze kan voorkomen in de toekomst.
Het probleem met een BSN is vooral, de overheid geeft jou geen nieuw BSN als jouw BSN uitlekt door hun toedoen.

De afgelopen 10 jaar zijn er mensen gekneveld door criminele ambtenaren omdat iemand anders kindertoeslag op hun naam aanvroeg, met gestolen persoonsgegevens. Enkele kinderoppascentrales lieten ouders opzettelijk de gegevens bij hun invullen zodat ze deze later nog even konden 'aanpassen'.

Dat is de mogelijke schade van een uitgelekt BSN, maar de overheid neemt daar geen verantwoordelijkheid voor.
Het probleem met een BSN is vooral, de overheid geeft jou geen nieuw BSN als jouw BSN uitlekt door hun toedoen.
Dat is niet het bronprobleem. Het probleem is dat het BSN te waardevol is om diensten aan te vragen bij de overheid. Het is een identiteitsnummer, maar wordt gebruikt als authenticatiefactor.

De situatie zou moeten zijn dat een gelekte BSN niets meer is dan een gelekte naam. Je krijgt ook geen nieuwe naam als die is uitgelekt.

[Reactie gewijzigd door The Zep Man op 24 februari 2021 08:41]

Precies dit. Niemand klaagt als hun naam leesbaar op een brief staat. Een BSN zou gewoon dat moeten zijn, gewoon een unieke "naam".
Heb jij nog nooit fouten gemaakt?
Ik maak fouten, en ik draag de consequenties.
En tenzij er opzet in het spel is hoop ik echt dat de persoon die de fout gemaakt heeft niet gestraft wordt. Fouten dienen om van te leren hoe je ze kan voorkomen in de toekomst.
Het gaat niet om personen te straffen (tenzij er sprake is van opzet of nalatigheid), maar om fouten maken kwantifieerbaar te maken. Daarmee kunnen meer investeringen in en wijzigingen aan processen gedaan worden om fouten te voorkomen. Het is geen gekke gedachte om de pijn van fouten bij de makers van de fouten neer te leggen en niet bij de slachtoffers.

Zelf ben ik voor een alternatief waarbij organisaties geld moeten storten in een verzekeringspot voor de specifieke slachtoffers, die gebruikt kan worden voor assistentie en schadevergoedingen bij identiteitsfraude. Komen je gegevens meerdere keren op straat? Dat is een grotere kans op misbruik, en daarmee meer geld in je verzekeringspot. Overvloeit de collectieve verzekeringspot als geheel? Investeer het geld in bijvoorbeeld de AP.

[Reactie gewijzigd door The Zep Man op 24 februari 2021 09:51]

Fouten kunnen gemaakt worden. Dat zeker. En ook ik ben niet feilloos.

Waar mijn punt om gaat is dat er een (mega)impact kan zijn, er misschien een onderzoekje gestart wordt & een boete komt, verbeterpunten in een rapport, de eerste paar maanden wordt er nog aan gedacht en dan verdwijnt het weer in de la.
Terwijl de gedupeerden nog steeds (en mischien wel voor langere termijn) in de s*** zitten en hier niets mee gedaan wordt. Behalve misschien een nieuwe brief met "sorry" - wederom met BSN in het venster :Y) /sarcasme

Om vervolgens weer een (maga)fout te maken, met een onderzoek daarna etc etc

Er wordt niets geleerd en structureel doorgevoerd in bedrijfsvoering c.q opleiding van medewerkers om dit te verbeteren; "mensen, die nooit meer"

En op díe cultuur mag best wel een straffer gehandhaafd en beboet worden. Waarbij, en dat kan via een fonds zoals @The Zep Man zegt, of directe uitbetaling aan de slachtoffers, of een andere directe wijze zonder dat daar ellelang voor geprocedeerd moet worden [en de overheid het langer kan uithouden, juridische inschakeling en rekken qua (financiele) resources dan de gewone burger]
Waarbij, en dat kan via een fonds zoals @The Zep Man zegt,
Je weet op wie je reageert? ;)

Maar om toch een nuttige aanvulling te doen: eens. Het doel is niet straffen voor fouten, maar om motivatie te kweken voor verbeterprocessen. Straffen voor fouten hoort enkel bij nalatigheid en opzet.

[Reactie gewijzigd door The Zep Man op 24 februari 2021 09:50]

de eerste paar maanden wordt er nog aan gedacht en dan verdwijnt het weer in de la.
En nog een heleboel aannames en insinuaties.

fouten maken is menselijk. Kleine fouten maken die veel consequenties kunnen hebben is ook menselijk. Je geeft het zelf al toe.

Ga dan eens kijken hoeveel miljarden handelingen er elke dag worden gaan met persoonsgegevens en hoe weinig fouten er worden gemaakt.
Het is niet dezelfde persoon of afdeling die steeds dezelfde fout maakt. Het zijn allemaal andere mensen, andere bedrijven en andere fouten.

Laat anders maar eens zien wanneer het al eerder voorgekomen is bij DUO dat een BSN nummer werd gelekt doordat het in het briefvenster zichtbaar was.

Het is gewoon de wet van de grote getallen.

[Reactie gewijzigd door mjtdevries op 24 februari 2021 11:46]

Het gaat mij meer om de structurele fouten die gemaakt worden met lekken van persoonsgegevens en waar geen structurele verbetercultuur in zit.

Ja, er komt een boete. Misschien een onderzoek. Daarmee is veelal de kous af. En is het weer terug naar de orde van de dag.

Medewerkers worden niet of niet volledig getraind en bijgebracht wat de consequenties zijn, en welke richtlijnen er gevolgd dienen te worden.
Een melding bij AP, en/of een boete veranderd hier vrij weinig is.

Zoals ik al aangaf het is díe cultuur die best wel eens straffer gehandhaafd en beboet mag worden.
En cultuur omvat o.m. het besef, acteren, signaleren, nadenken over of iets wel handig/verstandig/slim is & verbeteren en leren van je fouten. In deze PDCA, wordt de A nogal een achterwege gelaten of minder uitgevoerd (tezamen met de feedback-loop).
Je schaart allerlei mensen en instellingen over één kam die helemaal niets met elkaar te maken hebben.

Heb je het over een verkeerde cultuur bij DUO? Waar baseer je dat op? Ik heb dat idee helemaal niet.

Bij de GGD zit naar mijn mening wel structureel iets fout. (mede ook door de corona situatie natuurlijk)
Maar een cultuur bij de GGD heeft geen zak te maken met de cultuur bij DUO.

Als je wilt dat zoiets verbeterd word, dan moet je eerst eerlijk zijn naar die instellingen toe. Je kunt niet DUO afrekenen op fouten bij de GGD. Dan werkt een PDCA loop niet.
Dat zeg ik ook niet.
Zoals aangegeven gaat er bij diverse instanties vaak veel fout rondom privacy, datalekken etc etc.
(even rondje zoeken hier of zoekmachines op databreaches, datalek, ap maakt dit wel duidelijk)

En het gaat mij om het proces dat erachter zit om dit structureel te verbeteren, medewerkers op te leiden en in te lichten van de risico's, gevaarzetting, en het non-gebruik van tot op persoonsniveau (vgl. BSN) herleidbare gegevens "out in the open" te publiceren (bijv. zoals hier, maar ook door gebruik van niet-gehasht/plain tekst in databases, geen tweestapsverificatie e.d.).

En nee.... ik richt me niet op specifieke instellingen en personen. Het is het "algemene" beeld wanneer er een datalek is, en hoe hiermee wordt omgegaan door organisaties, overheid en instanties als AP e.d.;
veelal proces van melding [verplicht], onderzoek, evt. boete, maar vrij weinig in mijn optiek echte actie achter de schermen om dit in de toekomst te voorkomen (procedureel & procesmatig).
Uit het bron artikel in Trouw: "Naast het onderzoek om te kijken of burgerservicenummers in de toekomst uit de brieven kunnen worden geschrapt, neemt Duo maatregelen om dit soort datalekken in de toekomst te voorkomen."

Onderzoek naar mogelijke proces verbetering wordt dus in gang gezet. Precies zoals je wilt.
Zie alleen in andere reacties het onderstaande:

"Dit betrof jaaropgaven voor mensen die in dienst van DUO examens opstelden. BSN moet op de jaaropgave vermeld worden volgens handboek Loonheffingen par. 13.3 (Belastingdienst)"

Bron: trouw artikel

Regeltje van de BD dat verplicht om BSN te vermelden..
Klopt ook volgens mij ja; BSN op jaaropgave.
Alleen... lekkere ongelukkige plek zo bij het venster #oopsy
Om vervolgens weer een (maga)fout te maken, met een onderzoek daarna etc etc

Er wordt niets geleerd en structureel doorgevoerd in bedrijfsvoering c.q opleiding van medewerkers om dit te verbeteren; "mensen, die nooit meer"
Natuurlijk wel. Hier wordt echt wel iets mee gedaan. De afdeling die deze brieven heeft gemaakt zal hier absoluut op worden aangesproken en de medewerkers schamen zich waarschijnlijk dood.

Er zal hier absoluut een onderzoek gaan plaatsvinden over hoe zo’n situatie in de toekomst voorkomen kan worden. Misschien door procesmatige aanpassingen, of misschien door de ontwerpen van brieven door meer mensen te laten reviewen. Dit verdwijnt echt niet zomaar in een la.
Sorry maar dit is wel een heel makkelijk excuus.

Naast het feit dat er een persoon een fout maakt, gaat hier natuurlijk nog veel meer fout. Wat zijn de de procedures bij het versturen van deze brieven, wie doet de controles ervan. Wie is er verantwoordelijk voor de juiste opstellingen van de brief?

Ik ben het hier met @kiddingguy eens, het is niet een keer een fout. Het probleem is dat er blijkbaar veel te veel incompetente mensen werken bij de overheid en gemeenten. Natuurlijk hoeft men bij de eerste beste fout niet per direct ontslagen te worden. Maar de managers of de verantwoordelijke die erboven staan mogen wel hard gestraft worden. Dit is niet zomaar een kleine fout, als een gewoon bedrijf zulke belangrijke informatie had gelekt dan had men een fikse boete kunnen verwachten met een onderzoek.

De wegkijk cultuur hier in Nederland bij de overheid en gemeenten is veel te groot en de consequenties veel te klein. Er worden fouten gemaakt van miljoenen euro's, keer op keer en hoe simpel de fout ook is er is blijkbaar geen goede controle. In het bedrijfsleven doe je dit een enkele keer en je kunt vertrekken, bij de overheid behoud je zelfs je functie en krijgt men misschien een cursus aangeboden. |:(
Probleem is wel dat als ik bijvoorbeeld jouw bsn nummer weet, ik zomaar auto’s kan lenen, leningen kan afsluiten etc onder jouw naam... jij kan dan dure advocaten inhuren om jezelf te verdedigen...
Zolang er nog mensen werken zullen er fouten gemaakt worden! En daarnaast zie je vaak dat het misgaat bij kleine groepen, daar waar iets specifieks aan de hand is...

Dus nooit is onmogelijk maar hopelijk wel minder dan het verleden!
Die privacy by default denken proberen wij als softwareleverancier uit te dragen door slechts in 1 geval het bsn uit te geven op overzichten en dat is een overzicht waarmee je identiteitscontrole moet doen (m.a.w. daar kom je niet onderuit).
Nog steeds en iedere keer opnieuw worden vragen gesteld over het toevoegen van het bsn in export bestanden, want dat is zo handig... Dat je initieel misschien een van nodig hebt voor identiteit controle is prima, maar als je andere informatie uitdraaien wil kan je daar ook een intern id voor gebruiken (die is al zichtbaar en gegenereerd in de software). Mocht je dan toch een keer moeten zoeken dan kan je dat id voor gebruiken.

Te vaak gebeurt het dat dergelijke informatie wordt geprint of onveilig wordt opgeslagen dus zogezegd 'op straat' terecht komt. Maar het denken vanuit privacy is nog lang niet standaard, ook niet in de zorgsector waar ik het hierboven over heb.
+1Anoniem: 474132
24 februari 2021 07:32
Behandel je BSN als een private ssh key want kennelijk zijn de mogelijkheden ongekend als iemand je BSN weet (?).
Behalve dat die vlieger niet op gaat voor de anderhalf miljoen eenmanszaken die Nederland rijk is. Daar was tot 2020 je BSN namelijk je BTW nummer, dat je verplicht bent te communiceren.
Gewoon uit nieuwsgierigheid, maar in een database mag een BSN niet gebruikt worden als ID, in principe is je BTW nummer toch ook gewoon een ID (weet natuurlijk niet de structuur bij de belastingdienst)? Waarom zouden zij dat dan wel mogen?

Ik vind het logisch dat het nu niet meer mag, maar ik vind het uberhaupt al gek dat het wel mocht.
Iedereen vond het gek dat het zo was bedacht maar het komt voort uit het SoFi-nummer, dat niet hetzelfde gewicht had als het BSN. Door veranderende wetgeving is het Sofi-nummer een BSN geworden, alleen toen had de belastingdienst al ingebakken dat het BTW-nummer voor eenmanszaken ook het SoFi-nummer had ingebakken. En niemand in politiek Den Haag heeft zich destijds gerealiseerd wat dat betekende voor al die zzp-ers.
Voor zzp bedrijven werd het BSN nummer het BTW nummer en die moest je vermelden... overal...
rules for thee, but not for me ;)
Niet echt een eerlijke vergelijking. Private SSH key geef je nooit uit, geen uitzonderingen, er is absoluut geen enkele reden waarom iemand ooit om je private key zou vragen. BSN wordt ook gebruikt ter identificatie en staat op je ID-kaart, die heb je juist vaak nodig.
Ik vermoed dat @Anoniem: 474132 meer de dubbelzinnigheid bedoelt. Er is klaarblijkelijk zoveel mogelijk met je BSN, dat je deze haast zou moeten behandelen als een private key.

Dat is echter niet mogelijk gezien het feit dat er instanties zijn die hierom mogen vragen. En zoals @the_shadow terecht opmerkt dat je als eenmanszaak tot voor kort zelfs een BTW nummer had waar het in verwerkt zat.

Overigens is er mijns inziens geen probleem met het BSN, maar hoe we in het algemeen met persoonsgegevens omgaan. Gevoelige persoonsgegevens zouden alleen waarde moeten hebben in combinatie met de fysieke aanwezigheid van de persoon. (Even daargelaten dat zelfs dit niet geheel waterdicht zal zijn...)
+2Anoniem: 474132
@JKP24 februari 2021 09:04
Klopt, BSN zou geen authenticerende waarde moeten hebben, zegt veel over de veiligheid van systemen en waarom social engineering nog steeds effectief is.
Het voordeel van een ssh key is dat je die kan vervangen als 'ie uitgelekt is. Je zit vast aan je BSN.
Daarom ook dat het opslaan van een BSN niet zomaar mag, en het gebruiken van BSN als identifier in 99% van de gevallen al helemáál niet. Het mooie aan een SSH key is dat je in theorie voor iedere server/organisatie een nieuwe kan maken, jij zelf de private key houdt en de organisatie alleen de public key heeft, waarbij een handshake met beide keys nodig is om te bevestigen of ze beide hetzelfde zijn. Als je dit goed volgt dan zou bij het uitlekken van je key dus ook maar één server risico lopen.

Zou mooi zijn als er bij BSN's ook zoiets was, maar dat is natuurlijk lastig als je met de overheid belt en ze vragen om even de handshake voor je 2048-bit private key mondeling te doorlopen :P
Dit doet de KvK toch al jaren?
De Belastingdienst deed dit. Als eenmansbedrijf was je BTW nummer gelijk aan je BSN. Dat is in 2020 veranderd, maar er zal nog voldoende communicatie de ronde doen met een oud nummer er op.
Dit is trouwens niet volledig waar, je BSN word nog steeds gebruikt voor de opbouw van je KVK nummer als je als particulier zonnepanelen neemt en registreert bij de belastingdienst. Of de belastingdienst moet het pas in december vorig jaar hebben aangepast.
Maar in november kreeg ik netjes een KVK nr terug welke bestond uit mijn BSN + nog een klein ander deel.
Als je je registreert bij de belastingdient als zonnepaneelhouder heb je niets van doen met de KVK.
Je hoeft je ook niet in te schrijven bij de KVK.
En KVK nummers lijken ook helemaal niet op het BSN nummer en worden hier niet van afgeleid.
Mijn 8 cijferige KVK nummer deelt zelfs geen twee opeenvolgende cijfers met mijn BSN.
Daarvoor heb je voor bedrijven dan ook een RSIN Rechtspersonen en Samenwerkingsverbanden Informatienummer en dat hangt af van welke rechtsvorm je kiest , soms kan je BSN gebruikt worden als rechtspersoon en anders een RSIN.
De Belastingdienst deed dit. Als eenmansbedrijf was je BTW nummer gelijk aan je BSN. Dat is in 2020 veranderd, maar er zal nog voldoende communicatie de ronde doen met een oud nummer er op.
De betrokkenen zouden allemaal een ander BTW-nummer gekregen moeten hebben, maar geen ander BSN-nummer (dat zou niet kunnen volgens de overheid). Vanwege de plicht dit op de facturen te zetten, lag dat dus al jaren op straat. Beter hadden ze dat dus omgekeerd gedaan.
Zeker aangezien je verplicht was je btw nummer bij alle zakelijke communicatie te vermelden. Evenals op je website. Ik wil niet weten waar, na 18 jaar, mijn BSN nummer nog allemaal te vinden is... Ik heb er persoonlijk dan ook wel moeite mee om de “urgentie” van het geheim houden in te zien terwijl ik het daarvoor overal (internet, visitekaartjes, etc) kon laten slingeren.

Ik moest daarom altijd gniffelen bij de “verificatie” van BSN nummer, adres en KVK nummer. Soms vroegen ze ook een geboortedatum maar ook die had menig persoon op de social media staan.

Gelukkig zijn ze er nu vanaf en heb je een eigen btw nummer en ik denk dat over 40-50 jaar de meeste zzp/eenmanszaken niet meer met BSN te vinden zijn.
Tegenwoordig niet meer, maar inderdaad, in ieder geval tot 2019 deed de KVK dit als onderdeel van hun bedrijfsproces. Het ironische is dat ze alle persoonsgegevens verkopen behalve de belangrijkste, die was je verplicht gratis uit te dragen.

Ik snap nog steeds niet hoe zo'n club mag bestaan.

[Reactie gewijzigd door nst6ldr op 24 februari 2021 07:38]

Ik word inderdaad helemaal gek van het aantal zeurtelefoontjes dat ik dagelijks krijg van energieleveranciers. Het zijn er gemiddeld 5 per dag het hele jaar door. Onbegrijpelijk dat de KvK dit mag doen. Het is de enige reden dat ik mijn zakelijk en privénummer van elkaar ga scheiden. In die zin is de KvK verantwoordelijk voor een extra kostenpost van minimaal 120 euro per jaar voor een extra telefoonabonnement.
Maar je kan toch gewoon een niet-bestaand telefoonnummer registreren bij de KvK? Ze controleren neem ik aan niet of het klopt. Of is het ook zo dat potentiële klanten bij de KvK zoeken naar je bedrijf en dus misschien dat nummer bellen?
Het bestand wordt ook geactualiseerd door o.a. bovenstaande belclubs dus jouw juiste nummer komt hoe dan ook wel weer boven water.
Bij de KVK is het nummer van mijn oude huistelefoon geregistreerd, die heb ik al 8 jaar niet meer.
Er heeft vanuit de KVK nog nooit een haan naar gekraaid.

Volgens mij is telefoonnummer inmiddels niet meer verplicht bij de KVK.
Mijn denkwijze was inderdaad dat klanten me zouden vinden via de KvK. Toen ik mij in 2015 inschreef was het mij onvoldoende bekend dat mijn gegevens massaal verkocht zouden worden. Klanten vinden mij nu via mond op mond reclame of via Facebook. En niet via de telefoon. Het probleem zou opgelost worden met een zakelijk bel-me-niet register. Maar dat bestaat of werkt niet. Of een opt-out bij de KvK. Heb er al een tijdje niet naar gekeken, dus misschien is die er nu wel, dus note to self om daar vandaag nog naar te kijken.
Of een opt-out bij de KvK.
Die hebben ze, maar dat komt neer op dat ze je gegevens verkopen met een vinkje "niet bellen" er bij, wat natuurlijk stelselmatig genegeerd wordt.

De enige manier om niet lastig gevallen te worden, tegenwoordig mogelijk maar vroeger niet, is gewoon geen nummer opgeven.
Daar zijn met VoIP tegenwoordig mooiere Vast-Mobiel oplossingen voor dan onnodig twee abonnementen en twee toestellen te moeten hebben. Zakelijk nummer ( geografisch en/of mobiel ) met schakeling naar voicemail in niet storen stand, of buiten werktijden. En een extra 06 nummer voor prive gebruik.
Ik raad je aan, je in te schrijven bij het bel me niet register.
Dat werkt dus niet. Zakelijk gebruiken ze schijnbaar een omissie.
Bij een eenmanszaak is het mogelijk om geen telefoonnummer op te geven bij de KvK.
Heeft dat ooit gewerkt bij jou? Voor mij in elk geval niet. En het is volgens mij ook nog eens zo dat je je dan voor elke organisatie afzonderlijk moet inschrijven bij het bel me niet register, dit is dus niet een eenmalige handeling.
Bij mij heeft dat gewerkt. Het is mogelijk om voor meerdere categorieën (in principe alles) je in 1 keer af te melden.
BelMeNiet is alleen voor particulieren, en dan ook nog maar een jaar of twee lang.
Dat is niet helemaal zo:
(...) Alle natuurlijke personen (dit zijn consumenten, VOF, eenmanszaak/ZZP, of een maatschap) kunnen hun Nederlandse vaste en mobiele telefoonnummer(s) inschrijven in het Bel-me-niet Register. Daarna mogen bedrijven en organisaties hen niet meer telefonisch benaderen voor commerciële, ideële of charitatieve doeleinden.
In bepaalde gevallen kunnen (privé-)telefoonnummers die bedrijfsmatig worden gebruikt dus wel degelijk opgenomen worden in het Bel-me-niet-register. Bedrijven die jou vervolgens bellen zijn in overtreding. Dat kun je ook meteen zeggen wanneer je ze aan de telefoon krijgt.

Het register geldt alleen niet voor NV's, BV's en bepaalde andere rechtsvormen.

Bron

[Reactie gewijzigd door PCG2020 op 25 februari 2021 07:31]

Paar dagen terug nog één die me probeerde wijs te maken dat ik zakelijke energie nodig had :+

Gewoon meteen ophangen als je het nummer niet kent, even opzoeken op wieheeftgebeld.nl en dan terugbellen of blokkeren.
Het scheiden nu zorgt ervoor dat het minder wordt maar je nummer is bekend. 120 euro per jaar is vrij prijzig voor een apart nummer heb je al gewoon een DID overwogen? Zelf betaal ik 1,21 (inclusief btw, dus 1 euro) per maand voor een 085 nummer. Dit nummer gebruik ik voor de KVK en obscure verificatie sites. 12 euro per jaar voor een nummer wat ik, als ik zou willen, ook nog kan gebruiken om mee te bellen naar vage bedrijven is het mij meer dan waard.
Veel goede tips. Ga ik zeker in overweging nemen. Maar ik blijf wel bij mijn standpunt dat het vreemd is dat je als ondernemer eigenlijk aan de goden overgeleverd bent. Waarom worden mijn gegevens buiten mijn weten om verkocht? En waarom heeft het (blijkbaar) geen zin om te zeggen dat je dat niet wilt?
Uiteraard heb je daar een heel goed punt. Er was een periode dat een KvK inschrijving "gratis" was dus toen vond ik het nog een soort van "gerechtvaardigd" dat mijn gegevens verkocht werden. Maar inschrijven kost nu (geloof ik) 50 euro en is verplicht. Daarnaast worden dus ook je gegevens verkocht.

Waarom de gegevens verkocht worden is vrij simpel, Geld. Een oud bericht van een aantal jaar geleden had de volgende quote "Het schrappen van de verkoop van adresgegevens kost de KvK zo'n 500.000 euro, schat de woordvoerder van de KvK. "

Waarom het geen zin heeft om te zeggen dat je het niet wilt is wat uitgebreider maar in het kort: "De organisatie moet voldoen aan de wet Handelsregister, die regelt dat gegevens over bedrijven en hun bestuurders te controleren zijn voor eventuele zakenpartners. Om deze taak te kunnen uitvoeren, is de KvK uitgezonderd van de AVG."

Jouw verzoek om je gegevens dus niet te verkopen is niks meer dan dat voor de KvK. Een verzoek.

Nu had de AP een onderzoek gestart naar de KvK maar eerlijk gezegd kan ik daar niet veel nuttige feitelijke informatie over vinden.

Persoonlijk vind ik dat mensen een keuze moeten hebben. Gratis inschrijven en je gegevens worden verkocht of een x bedrag (eventueel per jaar) waarmee dat niet gebeurd. Al blijft dit een tweesprong dat een verplichting je tot deze "keuze" zou dwingen.
Als kleine ondernemer moet je je BSN invullen op buitenlandse websites om geen belasting te betalen. Dus zo geheim lijkt dit me niet?

NL, daarna het omzetbelastingnummer (meestal burgerservicenummer) van 9 cijfers en dan de 3-cijferige code B01.
Sinds januari 2020 hebben zzp’ers al een nieuw BTW nummer dat helemaal los staat van hun BSN :O

Ook eindigt het BTW nummer niet per definitie op B01, dit is een volgnummer dat kan oplopen.
Ik betwijfel of het nu een volgnummer is want mijn nieuwe BTW nummer is nu NL000000000B57 en ik heb toch echt geen 57 bedrijven gehad... vroeger liep het nummer inderdaad op.
NL, daarna het omzetbelastingnummer (meestal burgerservicenummer) van 9 cijfers en dan de 3-cijferige code B01.
Dat moest, sinds 2020 is het BSN geen onderdeel meer van je BTW-nummer. Dat is door de Belastingdienst gewijzigd, daar hoefde je zelf niets voor te doen, behalve het nieuwe nummer vermelden op je website en relevante correspondentie.

[Reactie gewijzigd door PCG2020 op 24 februari 2021 08:44]

...
NL, daarna het omzetbelastingnummer (meestal burgerservicenummer) van 9 cijfers en dan de 3-cijferige code B01.
Als je als bedrijf tot de zeldzame gevallen behoort dat je twee- of meer BTW-nummers nodig hebt, dan is de volgende B02.
Ik vraag mij dan gelijk af waarom men heeft besloten om het BSN nummer qua positionering in de buurt van adresgegevens op te nemen in de brief. Als het een brief is die volgens de Rijkshuisstijl is opgesteld, dan zou hiervan geen sprake moeten zijn.
De vraag is eerder waarom ze überhaupt het nodig vinden om te communiceren met je BSN nummer. Die weet je zelf toch wel? Die hoeven ze daar echt niet op te schrijven lijkt me.
Klopt, een BSN hoeft niet op een brief. De rijkshuisstijl voorziet in een referentie voor zowel DUO als voor de toezender (indien er al eerder communicatie is geweest). Maar even los van dat. Het adresblok is een op zichzelf staand geheel. Geen enkel kenmerk hoeft daar in de buurt te staan.
Paar reactie hierboven staat dit :

Dit betrof jaaropgaven voor mensen die in dienst van DUO examens opstelden. BSN moet op de jaaropgave vermeld worden volgens handboek Loonheffingen par. 13.3 (Belastingdienst)

Bron: trouw artikel

Het lijkt er dus op dat in dit geval er wel een BSN op moet .
Of doe anders wat ze ook met bankrekening nummers vaak doen, de laatste 4 cijfers.
De vraag is eerder waarom ze überhaupt het nodig vinden om te communiceren met je BSN nummer.
Volgens mij deden ze dat 30 jaar geleden al, toen BSN nog So-Fi-nummer heette, en DUO nog Informatie Beheer Groep Informatiseringsbank.

offtopic:
edit naar aanleiding van @dok33 en @netman

[Reactie gewijzigd door BeosBeing op 25 februari 2021 11:54]

Dat is toch geen antwoord op mijn vraag?
"Omdat ze dat vroeger ook deden.." is natuurlijk een drogreden.
Dat is toch geen antwoord op mijn vraag?"Omdat ze dat vroeger ook deden.." is natuurlijk een drogreden.
But things in this life change very slowly, If they ever change at all
Sorry beetje nitpicking... :)
30 jaar geleden heette het "De Informatiserings bank"..... Vanaf 1994 Informatie Beheer Groep
Sorry beetje nitpicking... :)
30 jaar geleden heette het "De Informatiserings bank"..... Vanaf 1994 Informatie Beheer Groep
Ja dat bedoelde ik, kon alleen even niet op die naam komen.

[Reactie gewijzigd door BeosBeing op 25 februari 2021 11:53]

Nouja, dat snap ik wel. Er kunnen natuurlijk fouten in sluipen, waardoor op elkaar lijkende namen/dezelfde namen poststukken van elkaar krijgen. Een BSN code is uniek, dus daaraan kan je dus onmiddelijk zien dat dit poststuk ook echt voor jouw bedoeld is. Een persoonsverwisseling is zo gemaakt wanneer je een vaak voorkomende naam hebt.

[Reactie gewijzigd door MadDogMcCree op 24 februari 2021 13:57]

Dat is dus precies wat er hier is misgegaan...
Begrijp niet zo goed waarom dit een artikel op Tweakers oplevert. Dit heeft toch niks met tech te maken?
Maar wel altijd een hoop verontwaardiging waarbij men over elkaar heen buitelt om te moraalridderen. En dat soort interactiviteit doet het goed bij adverteerders, de klanten.
Omdat Tweakers het ook vaak over privacy heeft. En op dat vlak is dit wel weer relevant
Ik zie het raakvlak met de techniek of technologie ook niet bij dit artikel, of is alles wat fout gaat bij een overheidsdienst nieuws op een techsite?
Informatie over datalekken is relevant voor IT professionals die een taak vervullen op het gebied van informatiebeveiliging en naleven van de GDPR.
Hoewel ik dit een slechte zaak vind en men terughoudend moet zijn met het BSN-nr overal maar op te vermelden, heeft het BSN-nr-zover ik weet- vooral een "pointer functie" naar (persoonsgegevens)gegevens binnen een specifieke database van een instantie. en betekent het niet dat men gelijk 'aan de slag kan gaan' met al jouw gegevens.

Mocht ik dit verkeerd zien, leer ik uiteraard graag meer hierover.
Het BSN word door de overheid gebruikt voor authenticatie. Bijvoorbeeld als je naar een overheidsinstantie belt. Naam + BSN is al voldoende voor fraude.
Helaas klopt dat, banken vragen veel meer (persoonlijke) informatie ter authenticatie.
Neemt niet weg dat iedereen die die gegevens kent, door de authenticatie komt.
Misschien met een bsn nummer op zich niet. Maar zoals te lezen is in het artikel was zichtbaar in het vakje van de adresgegevens. Dan neem ik aan dat ook de adresgegevens zichtbaar waren en die icm een bsn nummer is een ander verhaal.
Haha ik snap dat `post' een ouderwets concept is maar adresgegevens horen op een brief te staan ;)

[Reactie gewijzigd door Xerxes249 op 24 februari 2021 13:07]

Haha ik snap dat dit moeilijk concept is om te begrijpen, maar de brief kan ook verschoven in de envelop tijdens transport waardoor zowel de bsn en adres te zien in adresvenster of juist alleen de bsn. Het is niet alsof de brief wordt vastgeplakt aan de envelop ofzo.
Het idee was meer, adresgegevens op brief is default. BSN erbij is automatisch de pineut zijn (want adres is er al).

Ik snap
Klopt, maar niet ivm een bsn nummer...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True