Hackersgroep kreeg bsn's inwoners Schiermonnikoog in handen

De Russische hackersgroep Qilin heeft een bestand met namen, adressen en bsn's van inwoners van Schiermonnikoog in handen gekregen door de hack bij afvalverwerker Omrin. Schiermonnikoog is de enige gemeente waar dat is gebeurd.

De gemeente stuurt een brief naar alle bewoners over de hack, maar die komt pas dinsdag aan en dus staat die al op de site. De gemeente geeft toe dat die data niet in dat bestand hadden hoeven staan: Omrin heeft het burgerservicenummer niet nodig voor de uitvoering van zijn taken. Ook gegevens van eigenaren van vakantiewoningen en rsin's van bedrijven staan in een bestand dat de hackers in handen hebben gekregen.

Het risico daarvan is dat hackers makkelijker identiteitsfraude kunnen plegen met die gegevens of gerichtere phishingaanvallen kunnen uitvoeren. Het is de enige gemeente waarvan een dergelijk bestand is buitgemaakt, zegt Omrin.

Qilin hackte Omrin op 12 oktober in een ransomware-aanval. Het is onbekend hoe de hackersgroep precies is binnengekomen. Het gaat nu in totaal om meer dan 1TB aan gegevens, waaronder notulen van vertrouwelijke vergaderingen en privégegevens van medewerkers.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 02-11-2025 09:39
121 • submitter: psdata

02-11-2025 • 09:39

Submitter: psdata

Lees meer

Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker

Schiermonnikoog stuurde bsn's zelf per ongeluk naar gehackte afvalverwerker Nieuws van 5 november 2025

Justitie VS klaagt ransomwareonderhandelaars aan voor ransomwareaanvallen

Justitie VS klaagt ransomwareonderhandelaars aan voor ransomwareaanvallen Nieuws van 5 november 2025

MIT haalt na kritiek paper offline die stelde dat ransomware veel AI gebruikt

MIT haalt na kritiek paper offline die stelde dat ransomware veel AI gebruikt Nieuws van 3 november 2025

Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf

Hackersgroep publiceert alle gebruikersdata laptops Nederlands afvalbedrijf Nieuws van 28 oktober 2025

Meer producten en artikelen

Privacy Hack Nederland

IT-banen

Meer vacatures

Reacties (121)

121

118

53

7

0

62

Wijzig sortering

miicker 2 november 2025 09:44

Ook hier is het toch weer te bizar voor woorden dat een afvalverwerker toegang heeft tot persoonsgegevens waaronder BSN. Wat moet een afvalverwerker überhaupt met persoonsgegevens? Adresgegevens zou toch voldoende moeten zijn lijkt me.

Je kunt je eigen data nog zo goed beveiligen, maar als de overheid zo slordig omgaat met het delen van data dan ben je net zo goed alsnog het haasje.

Ik denk dat dat met name de overheid, maar ook bedrijven al hun datastromen toch eens goed onder de loep moeten nemen en zich bij alle gegevens moeten afvragen: is het echt nodig om deze gegevens te delen?

R_Zwart @miicker • 2 november 2025 10:33

Vanuit onze beroepsgroep (ICT) mag ook wel eens kritischer worden gekeken. Daar zit de technisch inhoudelijke kennis. Als iemand zegt "deel de data met die en die" mag je vanuit IT een extra controle verwachten op wat je precies gaat delen uit databases. Zomaar de opdracht uitvoeren is verre van professioneel.

Powerblast @R_Zwart • 2 november 2025 13:13

Dit lijkt mij eerder een CSV'tje dat al eerder eens gedeeld is geweest en nu met de afvalverwerking is gedeeld of iets in die trend. Je wil niet weten wat er in bedrijven nog allemaal via handmatige excelletjes wordt gedaan en gedeeld. IT kan dit dan misschien wil dicht timmeren via queries op de database (en dat zal vermoedelijk ook zo zijn), maar als dezelfde persoon die voor bedrijf X wel de BSN mocht doorsturen, ook voor bedrijf Y die deze niet mag hebben, de export heeft genomen is zoiets snel gebeurd. Misschien gewoon de excel die ze vorige week hadden genomen waar "volgens mij alles instaat wat ze moeten hebben". Op dat vlak blijft het een beetje, waar mensen werken, worden fouten gemaakt.

Ik zie persoonlijk meer de oplossing in afstappen van een super secret number dat blijkbaar zo een zwaar probleem is dat het lekt. Denk dat we er beter vanuit gaan dat op termijn alles zal lekken en een oplossing bedenken om niet op één gegeven een identificatie uit te voeren. Dat is volgens mij nu ook al het geval. Vroeger kon je meen ik bij een bank enkel het het rijksregisternummer een rekening openen, nu moet je via de identiteitskaart inloggen.

@Powerblast • 2 november 2025 14:40

Je hebt het over cvtjes excel en dergelijken. Het is zowat 1tb aan info.
Hoe is dit mogelijk en dan alleen Schiermonnikoog en wat notulen.
Benieuwd wat er nog meer komt boven drijven, verder afwachten wat in die brief staat.
Wij hebben op Schier een Omrin tag , vorig jaar totale systeem vernieuwd.
Dus wat hier gebeurt is me echt een raadsel. Zodra die brief binnen is, vraag ik mijn gegevens op die in hun systeem zit/zat.
Heb alle communicatie met hun en werd via adressering geïnformeerd. Totaal niks ingevuld. Hoefden alleen bij wijziging versturen token met hun contact opnemen.
Zie hieronder.

Die tag kwam in de bus.
Leeuwarden, 5 juli 2024
Waar wilt u de nieuwe afValtag(s) van uw vakantiewoning(en) op Schiermonnikoog ontvangen?
Beste eigenaar
In september 2024 vervangt Omrin in opdracht van de gemeente Schiermonnikoog bijna alle
(ondergrondse) afvalcontainers en alle paslezers. Dit betekent voor u dat iedere vakantiewoning een
nieuwe afvaltag nodig heeft. Een voordeel van deze nieuwe afvaltag is dat hiermee alle
ondergrondse containers op Schiermonnikoog geopend kunnen worden. In deze brief leest u hier
meer over.
Wanneer worden de afvalcontainers geplaatst?
De vervanging van de afvalcontainers gebeurt in stappen tussen begin september en eind december
2024. In deze periode versturen wij ook de nieuwe afvaltag en verdere informatie.
Waar wilt u de afvaltag(s) ontvangen?
IJ bent eigenaar van een (aantal) vakantiewoning(en) op Schiermonnikoog. Wij sturen de
informatiebrief met de nieuwe afvaltag naar uw vakantiewoning. Wilt u de afvaltag op een ander
adres ontvangen, dan kunt u dit voor 19 juli 2024 doorgeven aan de klantenservice van Omrin: SYP.
Dat kan telefonisch via 0900 - 201 0 215 of via sypQomrin.nl Als wij voor 19 juli geen bericht van u
ontvangen hebben, gaat de brief naar het adres van uw vakantiewoning.
Heeft u vragen of wilt u meer informatie?
Neem dan, tijdens kantooruren, contact op met SYP, het Service Ynformaasje Punt van Omrin,
telefoon 0900 - 210 0 215. Of mail naar syp@omrin.nl.
Met vriendelijke groet,

Bux666 @BobJung • 3 november 2025 11:31

Benieuwd wat er nog meer komt boven drijven, verder afwachten wat in die brief staat.

Staat gewoon in het artikel: 'De gemeente stuurt een brief naar alle bewoners over de hack, maar die komt pas dinsdag aan en dus staat die al op de site.'.

@Bux666 • 4 november 2025 07:25

Bedankt voor de link, die had ik op hun site niet gezien.

@R_Zwart • 2 november 2025 11:08

Idd, ik zit in een ontwikkelingteam voor een verzekeringsapplicatie. Ik heb jaren BSN tegen kunnen houden, tot het echt, voor een heel precies proces, wettelijk nodig is. Nu wordt het alleen dan gevraagd.

en dan heb ik het niet over “partner” systeem, waar ik letterlijk het bsn nummer kreeg van een levenspartner van een werknemer, die al 30j uit dienst was.

Na melding kreeg ik het schokkend antwoord: zo werkt onze api nu eenmaal.

Dan: laten we bsn alsjeblieft niet meer als iets speciaals zien, het ligt al op straat van 50%+ van de bevolking.

B_FORCE @bazzi • 2 november 2025 12:55

En dit beschrijft dan ook precies het probleem.

"Zo werkt het nu eenmaal/jaren" is altijd het excuus. Spreek je mensen erop aan, krijg daarop "zoiets raars heb ik nog nooit gehoord" terug. Ipv dat ze de wet en regels opzoeken, wordt het weggewuifd.

Enige wat je kunt doen is bij avg een melding doen. Kost heel veel tijd, moeite en de verhouding met de werkgever staat natuurlijk direct op scherp.

@B_FORCE • 2 november 2025 13:51

Nee hoor, processen werden gewoon aangepast, want we hadden gelijk. Maar intern krijg je wel wrijving. Maar zonder wrijving geen glans🤣

B_FORCE @bazzi • 2 november 2025 15:18

Gelukkig maar, ik bedoelde aan te geven dat het helaas in de meeste gevallen niet zo werkt.

Het hele idee is trouwens dat je als een team werkt.
Treurig altijd dat die wrijving en vijandigheid er moet zijn....

magician2000 @B_FORCE • 2 november 2025 23:51

Dat is het egoïsme van een maatschappij waar men (mede door o.a. politiek toedoen) enkel nog aan zichzelf wenst te denken. De rest kan letterlijk stikken. Of het nu de werkvloer, het verkeer of anderszins is, je ziet dit overal.

citegrene @bazzi • 2 november 2025 13:15

Ze kunnen beter er van uit gaan dat het BSN ondertussen public is en het niet meer gebruiken om je identiteit te verifieren. Wat volgens mij toch al niet meer gebeurd, niemand die mij vraagt naar de laatste cijfers van mijn bsn..

Overheid en banken kunnen het systeem altijd (gaan) uitbreiden met een beter systeem, naast de bsn.. als iets het maar een code die je echt met niemand deelt.

bwerg @citegrene • 2 november 2025 13:36

Overheid en banken kunnen het systeem altijd (gaan) uitbreiden met een beter systeem, naast de bsn.. als iets het maar een code die je echt met niemand deelt.

Als het gewoon weer BSN 2.0 is maar dan met als verschil dat je het met niemand deelt dan heeft die code weinig zin, want als je hem nooit deelt dan doet die hele code natuurlijk niks.

Als het beter moet kan je beter een systeem gebruiken waarin je je wel kan authenticeren maar waarin verwerkers niet zomaar alle gegevens te zien krijgen, en waarin ze zeker niet de "geheime code" in handen krijgen. Het concept van public key crypto is al >50 jaar bekend.

Zoiets hebben we nu bijvoorbeeld al in de vorm van DigiD. Maar dan moet dat wel laagdrempelig genoeg zijn voor alle relevante verwerkers om dat te kunnen/mogen gebruiken. Al is dat voor een afvalverwerker niet relevant, want die heeft het BSN gewoon niet nodig.

[Reactie gewijzigd door bwerg op 2 november 2025 13:39]

citegrene @bwerg • 2 november 2025 13:50

Precies wat ik bedoel, het huidige BSN nummer wordt vergelijkbaar met je mail adres wat je voor alles gebruikt. En er moet een ander systeem zijn, wat er met digiD al best wel is voor de serieuze zaken.

dss58 @bazzi • 2 november 2025 13:37

zo werkt onze api nu eenmaal

whaaa, doet me denken aan laaaaaang geleden, 50 jaar terug ofzo, als je al de belastingdienst aan telefoon kreeg om iets veranderd te krijgen werd er gezegd "kan niet meneer want zit in de computer"

Linux gebruiker @bazzi • 2 november 2025 19:45

Idd, ik zit in een ontwikkelingteam voor een verzekeringsapplicatie. Ik heb jaren BSN tegen kunnen houden, tot het echt, voor een heel precies proces, wettelijk nodig is. Nu wordt het alleen dan gevraagd.

en dan heb ik het niet over “partner” systeem, waar ik letterlijk het bsn nummer kreeg van een levenspartner van een werknemer, die al 30j uit dienst was.

Na melding kreeg ik het schokkend antwoord: zo werkt onze api nu eenmaal.

Dan: laten we bsn alsjeblieft niet meer als iets speciaals zien, het ligt al op straat van 50%+ van de bevolking.

En dus moeten we het maar goed vinden dat je bsn uitgedeeld wordt, zodat het van iedereen op straat ligt. Het is de mode dat er zoveel mogelijk informatie binnengeharkt wordt die nergwnas voor nodig is maar omdat het gewoon kan halen we het maar binnen. Als je bijvoorbeeld een online aankoop doet, of online een vraag stelt.

karma4 @bazzi • 3 november 2025 19:17

Bet bsn is nooit befdoeld als iets speciaals. Gewoon een uniek nietszeggend nummer om verwisselingen te voorkomen, uh het aantal te verminderen in registraties.

NAW geboortedatum was te ruim en gaf te veel problemen. Wie verzonnen heeft dat het bsn het ultieme bewijs van de juiste persoon is heeft weinig nan authenticatie en identificatie begrepen.

De opmerking voor kweken van angst dst het weten van dat soort gegevens tot verwintbaar identiteitsgraude leidt begrijpt niet waar het werkelijke probleem in dat geval ligt.

Merik @R_Zwart • 2 november 2025 13:20

Nog een stap verder, ik denk dat dat meer iets van de overheid wordt b.v. met centrale database waarin commerciele partijen iets eenmalig kunnen checken. Ik weet niet hoe het zit met of zo'n BSN bewaard mag worden, dacht aleen onder strenge voorwaarden maar op deze manier heb je dat ook niet (?) nodig.

Knallmeister @Merik • 2 november 2025 17:06

even google ingeschakeld:

Er is geen specifieke bewaartermijn voor een BSN van een overleden persoon, omdat een BSN onbeperkt geldig is en niet opnieuw wordt uitgegeven

. Wel zijn er wettelijke bewaartermijnen voor de documenten waarin het BSN voorkomt. De bewaartermijn is dus afhankelijk van het soort document, bijvoorbeeld: 5 jaar voor financiële administratie en 20 jaar voor medische dossiers.

Bewaartermijnen per documentsoort

Financiële administratie: Bewaar financiële documenten zoals bankafschriften en belastingaangiften voor 5 jaar. Voor documenten met betrekking tot leningen of bouw- en renovatiewerken geldt een bewaartermijn van 10 jaar.
Medische dossiers: Medische dossiers moeten minimaal 20 jaar worden bewaard, gerekend vanaf de laatste wijziging in het dossier, ook voor overleden personen.
Personeelsdossiers: De werkgever moet personeelsdossiers 2 jaar bewaren nadat de werknemer uit dienst is getreden.
Testamenten en notariële akten: Deze documenten kunt u het beste levenslang bewaren om discussies tussen erfgenamen te voorkomen.

Belangrijke overwegingen

Niet opnieuw uitgegeven: Het BSN van een overledene wordt niet opnieuw uitgegeven.
AVG: De Algemene Verordening Gegevensbescherming (AVG) geldt alleen voor levende personen en bevat geen concrete bewaartermijn voor persoonsgegevens van overledenen. Specifieke bewaartermijnen zijn opgenomen in andere wetten, zoals de WGBO (Wet op de geneeskundige behandelingsovereenkomst).
Advies: Raadpleeg de relevante autoriteiten of een juridisch adviseur voor specifieke situaties, aangezien bewaartermijnen kunnen variëren afhankelijk van de context en het soort document.

Conclusie het BSN gaat meer dan een leven lang mee.

[Reactie gewijzigd door Knallmeister op 2 november 2025 17:07]

prinzrem @R_Zwart • 4 november 2025 16:04

De beroepsgroep mag zeker kritischer zijn, niet alleen bij vragen om data te leveren - ook bij het ontwerpen en inrichten van applicaties en databases: vaak staan gevoelige persoonsgegevens direct bij de andere gegevens, dat is nergens voor nodig en vragen om problemen. Een BSN bijvoorbeeld heb je bij de meeste toepassingen zelden nodig of nooit nodig. Verberg dat gegeven dus standaard en sla het ook apart op, voor mijn part zelfs technisch offline. Laat hooguit alleen zien dat de BSN beschikbaar en gecheckt is mbv een vinkje, maar opvragen alleen via een apart proces.
Voor de duidelijkheid: is een voorbeeld, als je BSN's (of welk bijzonder persoonsgegeven dan ook) de hele dag nodig hebt is het een ander verhaal, hoewel je dan nog separate opslag kan overwegen met extra laag beveiliging.

@miicker • 2 november 2025 09:49

Klopt gegeven ze ook aan.

De gemeente geeft toe dat die data niet in dat bestand hadden hoeven staan: Omrin heeft het burgerservicenummer niet nodig voor de uitvoering van zijn taken

Maar ja dat is nu dus te laat. Hopelijk inderdaad les voor andere om het goed te bekijken als het echt nodig is.

Tusk @RobbyTown • 2 november 2025 11:15

Waarschijnlijk gewoon weer een export naar een csv'tje wat zo gemaild is.

Knallmeister @RobbyTown • 2 november 2025 17:27

Dan is het een grof schandaal dat dit wel is gebeurd. Misschien moet er dan maar aangifte tegen de gemeente gedaan worden.

denkster @miicker • 2 november 2025 22:35

Is het niet bij wet verboden om mijn gegevens op te slaan dan strikt noodzakelijk voor de te verlenen dienst?

Zo ja, dan het bedrijf dat die overtollige gegevens vraagt ook nog strafbaar..

phoenix2149 @miicker • 3 november 2025 10:40

Welkom tot de wereld van afvalcontrole. De gemeente(n) gaan steeds vaker op het monitoren van hoeveel afval je als inwoner weg gooit en per zak (zoals in onze gemeente) betaalt.

Ook al is GFT bijvoorbeeld gratis, het wordt wel gemonitord met een pasje waarmee je het luik open maakt. Ik ben er nog niet helemaal uit of de plastic container een chip heeft. Papier in ieder geval niet.

Qua kosten zal dit goedkoper kunnen zijn dan mijn vorige gemeente, want praktisch gezien hen ik maar een afvalzak per twee weken. De rest is plastic, papier of GFT.

Maar persoonlijk denk ik dat de mensen niet te vertrouwen zijn en je beter het scheiden centraal kan doen. Dat deed mijn vorige gemeente waar enkel papier apart was en geen kosten per container/gewicht.

[Reactie gewijzigd door phoenix2149 op 3 november 2025 10:43]

JJ Le Funk 2 november 2025 09:46

autorisatie zoals identificatie koppelen aan een uniek nummer (BSN, SoFi) is niet houdbaar gebleken.

deze keuze was alleen maar vanuit gemak omdat overheidssystemen zo versnipperd zijn, dan heb je alsnog een unieke identifier.

hopelijk gaat het BSN concept op de schop voor een systeem dat van de burger geen permanent en in beton gegoten nummertje maakt. als je bijvoorbeeld het BSN zou kunnen resetten, dan staan hackers met de vergaarde data buitenspel.
in de huidige situatie mislukt dan je belastingaangifte en raakt paspoort en rijbewijs ongeldig. hierdoor zit je je leven lang aan een gelekt ID vast met alle gevolgen en risico's van dien in het geval van identiteitsfraude.

[Reactie gewijzigd door JJ Le Funk op 2 november 2025 09:54]

Hack
Nederland
Privacy

@JJ Le Funk • 2 november 2025 09:57

Er is niets mis met het BSN, of het RRN in Belgie. Een uniek nummer dat bij geboorte wordt toegekend en tot je dood alle informatie bij de overheid over jouw persoon bij elkaar houdt. Hoe anders wil je al die data aan elkaar linken? Je hebt een globaal unieke identificatie nodig over al die systemen.

Wel mag een BSN op zich niet meer voldoende zijn om zich te identificeren. Daar hebben we vandaag vele oplossingen voor die een stuk veiliger zijn en die we daarom horen te gebruiken.

Een BSN resetten gaat niet. Er is enorm veel data die enkel op papier bestaat, die in archieven ligt. met een verandering van je BSN is die data ineens niet meer gekoppeld aan jouw als persoon. En dat is een groot probleem. Daarom dat dat niet snel zal gebeuren.

@Blokker_1999 • 2 november 2025 10:27

Je kunt natuurlijk vastleggen wanneer de BSN gewijzigd is en het oude ongeldig is verklaard.
Dan blijven de historische gegevens herleidbaar voor de overheid, maar verliest de oude BSN de waarde voor identiteitsfraude in digitale systemen van de overheid en aanpalend rechtsgeldig gebruik.

[Reactie gewijzigd door djwice op 2 november 2025 10:31]

Renoir @djwice • 2 november 2025 10:35

Probleem is alleen dat je die informatie, historie en alle wijzigingen heel lang moet vasthouden. Want het is soms ook nodig om jou met al je familierelaties te kunnen vinden en met allerlei historie in het bsn kan dat lastig worden als het om wijzigingen gaat van 70 jaar geleden. Ik zou er niet op vertrouwen dat dit goed gaat. Een veel te precair systeem

@Renoir • 2 november 2025 10:52

Het BSN werd in 2007 in Nederland ingevoerd en vervangt het sofinummer dat werd ingevoerd op in 1989 als opvolger van het fiscaal nummer uit 1985. Het laatste sofinummer werd in 2014 uitgegeven.

Deze nummers zijn dus pas net iets ouder dan 40 jaar. Dus 70 jaar terug gaat nog niet.

De nummers waren voorheen niet uniek. Er waren soms verschillende mensen met hetzelfde nummer.

Er is een proces om een BSN te wijzigen: https://www.rvig.nl/hup/wijzigen-bsn

[Reactie gewijzigd door djwice op 2 november 2025 10:56]

Renoir @djwice • 2 november 2025 11:49

Nee maar de nummers uit 1985 moeten wel nog 70 jaar later met alle wijzigingen herleidbaar zijn.

@Renoir • 2 november 2025 12:27

Daarvoor is dus een goed proces ingericht.
De nummers uit 1985 zijn in veel geval niet meer relevant omdat de dingen waar het fiscaal nummer voor gebruikt werd typisch een bewaartermijn van 7 jaar hebben.
Pas dit jaar is besloten dat de burger en niet de overheid de eigenaar is van de berichten in de MijnOverheid berichtenbox.
De Berichtenbox heeft sinds haar oprichting alleen BSN gehad als koppeling aan personen.

[Reactie gewijzigd door djwice op 2 november 2025 12:34]

snah001 @Renoir • 2 november 2025 11:53

Kletskoek.
Als je verhuist blijven bijvoorbeeld ook alle gegevens van het oude adres in bij de belastingdienst in het systeem staan en verdwijnen niet.
Dus dat hoeft ook niet te gebeuren bij het uitgeven van een nieuw BSN want dat moet dan in systemen verwijzen naar het oude BSN nummer echter kun je met dat oude nummer dan niks meer, geen id bewijzen meer aanvragen etc..
Je moest eens weten hoeveel de belastingdienst over jou heeft vast gelegd.
Ben daar c.a. 16 jaar geleden eens achter gekomen omdat het bedrijf waar ik werkte failliet was gegaan en er geen loonbetalingen waren gedaan maar wel bij de belastingdienst in het systeem stonden dus kreeg ik geld terug.
Echter om dat voor elkaar te krijgen naar het belastingkantoor geweest en samen met de ambtenaar daar mijn dossier ingekeken en ik stond er versteld van hoeveel info daar stond opgeslagen over mijn toen al lang overleden ouders en grootouders, hun woonadressen, alle woonadressen die ik na 1980 gehad had en nog veel meer en dat uit een tijd toen er nog geen BSN- of Sofinummers of fiscaal nummers waren.
En wij maar denken dat ze alleen data over jou in jouw dossier vast hebben liggen.......

Renoir @snah001 • 2 november 2025 20:17

Ja kletskoek. Prima. Nu is toevallig de belastingdienst mijn werkgever en ik heb best een redelijk beeld van wat daar over personen is opgeslagen.

maar ik werk ook lang genoeg in het informatievak om te weten dat het over de jaren toch af en toe ergens mis gaat en gegevens verdwijnen en het niet handig is als je alles heel lang moet bewaren en kunnen koppelen.

Maar goed blijkbaar een ander beeld erbij, dat is best. Maar begin dan niet meteen met ‘kletskoek’.

indigo79 @snah001 • 2 november 2025 16:42

... echter kun je met dat oude nummer dan niks meer, geen id bewijzen meer aanvragen etc..

Je zou met alleen het BSN (of om het even welk ander identificatienummer) sowieso gewoon niets mogen kunnen. Iedereen gewoon na elk incident een nieuw identificatienummer geven, kost gewoon een berg geld aan extra administratie en lost het probleem maar gedeeltelijk op, want er zullen op elk moment wel een aantal nog niet ontdekte gegevenslekken zijn ook.

De enige oplossing is een degelijke identificatie. Dat is inderdaad complexer dan het op het eerste zicht kan klinken, maar het is uiteindelijk de enige oplossing.

J_van_Ekris @Blokker_1999 • 2 november 2025 10:16

Wel mag een BSN op zich niet meer voldoende zijn om zich te identificeren. Daar hebben we vandaag vele oplossingen voor die een stuk veiliger zijn en die we daarom horen te gebruiken.

Hier gaat het inderdaad fundamenteel op mis. Het BSN is bedacht als "betekenisloos nummer" om een burger uniek te kunnen koppelen over de verschillende overheids-organisaties heen. Je mocht er verder niets mee kunnen. In praktijk zie je dat het misbruikt wordt als een soort supergeheim wachtwoord en identificatiemiddel: als je het BSN weet dan kun je ineens allerlei zaken regelen namens die persoon. Dat is de fout.

[Reactie gewijzigd door J_van_Ekris op 2 november 2025 10:18]

CharlesND @J_van_Ekris • 2 november 2025 10:52

In praktijk zie je dat het misbruikt wordt als een soort supergeheim wachtwoord en identificatiemiddel: als je het BSN weet dan kun je ineens allerlei zaken regelen namens die persoon.

Tot een paar jaar geleden stond op al de facturen die ik als ZZP-er stuurde mijn naam, adres, telefoonnummer en het verplichte BTW-nummer voor de omzetbelasting. Dat BTW nummer bestond uit mijn 'supergeheime' BSN nummer met de toevoeging B-01.

Van enkele honderdduizenden of zelfs miljoenen ZZP-ers liggen die adres en BSN gegevens dus allang op straat, met dank aan de overheid/belastingdienst

Nederland

@CharlesND • 2 november 2025 11:40

En bij hoeveel van die miljoenen zzp-ers en eenmanszaken is dat BSN misbruikt door criminelen?

@CivLord • 2 november 2025 12:06

Eigenlijk wel een terechte vraag, ik vond zo snel geen duidelijke cijfers maar wel een rapport:

Bron: Overheid.nl https://share.google/w8bQjPBhN82dq89YL

Nederland

@Gover • 2 november 2025 12:31

Een interessant rapport.

Het geeft echter geen antwoord op de vraag over hoeveel misbruiker van het BSN gemaakt wordt.
Het geeft aan dat bij de bevolking het gevoel bestaat dat er misbruik van gemaakt kan worden omdat het tegenwoordig overal gebruikt wordt.
Er wordt ook geschreven dat er een verhoogd frauderisico is. Maar er worden geen concrete voorbeelden gegeven. Er wordt zelfs aan te geven of bij het uitbreiden van het gebruik niet aangegeven of het vergrootte risico door het vergrootte gebruik van het BSN ook is gebleken door meer misbruik. Of dat de maatregelen die genomen zijn om het BSN minder zichtbaar te maken op ID-bewijzen geleid hebben tot minder misbruik.
Van de gemelde gevallen van identiteitsfraude is ook niet bekend bij welke het BSN een rol heeft gespeeld.

Zelf heb ik in alle gevallen waar ik mijn BSN op heb moeten geven óók mijn ID-bewijs moeten tonen. Ik zou dus zelf niet weten waar enkel het BSN genoeg is om identiteitsfraude te plegen.

tricodoro @Gover • 2 november 2025 12:26

Sinds 2015 dus een (exponentieel?) stijgende lijn…

CharlesND @CivLord • 2 november 2025 15:57

En bij hoeveel van die miljoenen zzp-ers en eenmanszaken is dat BSN misbruikt door criminelen?

Geen idee, maar daarom vind ik de heisa om deze hack ook nogal overdreven. Als de overheid het jarenlang verplichtte om mijn BSN nummer, naam en adres te sturen naar elk bedrijf waar ik in opdracht voor werkte snap ik niet waarom dezelfde overheid nu burgers met waarschuwingen de stuipen op het lijf jaagt omdat hun BSN nummer, naam en adres bekend zijn...

Kroesss @CharlesND • 4 november 2025 08:44

Niet alleen op je facturen. Je was zelfs verplicht om het op je website te vermelden.

Ik ben tot op de dag van vadaag aan het proberen om deze uit the internet archive te verwijderen, maar die lui reageren al jaren op geen enkel bericht dat ik hun stuur. Daardoor staat tot op de dag van vandaag mijn BSN gewoon open en bloot op internet. Waardeloos.

Triblade_8472 @Blokker_1999 • 2 november 2025 11:44

Wat @djwice aangeeft klopt perfect, je kan prima het nummer wijzigen, honderden keren indien nodig, zolang je de oude maar bewaard ter referentie.

Ik ben voor een hybride systeem.
BSN als uniek ID is prima, een naam alleen is niet uniek.

Per organisatie waar je voorheen een bsn voor moest inleveren, zouden nu een unieke code moeten krijgen, een soort sub-bsn, mogelijk afgeleide van. Deze moet online ingechecked worden en mag nooit meer een 2e keer gebruikt worden.

Hiermee kan je ook direct de bron terug herleiden als het ergens opduikt in een lek en dàt bedrijven op z'n falie geven.

Anders kunnen we het hele systeem van de bsn als unieke verificatie afschaffen en via digi-d een unieke koppeling maken per bedrijf. De overheid geeft dit bedrijf dan een unieke code die voor jou staat ipv een bsn. Ook herleidbaar dus.

Zoveel bedrijven en instellingen mogen jouw bsn niet hebben, dus dat moet prima te doen zijn.

@Triblade_8472 • 2 november 2025 12:19

Zoveel bedrijven en instellingen mogen jouw bsn niet hebben, dus dat moet prima te doen zijn.

Het wordt gebruikt bij je medische gegevens uitwisselingen, verzekeringen, banken, fraude informatie, Politie informatie en dan noem ik nog maar niet alle overheidsinstanties.

Het is meer dan jij kan bedenken.

Triblade_8472 @Rolfie • 2 november 2025 13:05

Dat snap ik, en ik noem het "prima te doen".

Dat zijn of overheidsorganisaties of hele rijke bedrijven. Niks mis mee.

Het gaat niet om de tienduizenden garages, retail/kledingwinkels, tankstations, enz enz. Het gaat om een relatief select groepje.

Daarnaast kan de overheid hier een standaard voor ontwikkelen (ze doen de laatste tijd aardige zaken in de achtergrond) waar de rest zo op kan aansluiten.

@Triblade_8472 • 2 november 2025 15:47

Het gaat om een relatief select groepje.

Maar dat is best wel een hele grote groep, onderschat de grote niet.

Triblade_8472 @Rolfie • 3 november 2025 07:36

En die "grote" groep maakt veelal gebruik van dezelfde paar standaard stukken software. Dat is het grote voordeel van deze specifieke groep.

Bouw je de check in, bij wijze van spreken, 10 software paletten, heb je 90% van de bedrijven voorzien.

Hack
Privacy
Nederland

@Blokker_1999 • 2 november 2025 13:08

Je laat een belangrijke kant weg. Het BSN mag hoe dan ook al niet zomaar gebruikt worden. Het niet op zich gebruiken voor authenticatie valt daar al onder.

Naast dat het niet zomaar gebruikt mag worden gaat op dat er voor welke persoonlijke gegevens dan ook een rechtvaardig doel moet zijn. Dus ook om een gegeven als het BSN te gaan en blijven verwerken. Zoals een plicht bij wet of als de dienstverlening niet zonder kan.

Er lijkt bij Omrin zowel geen plicht als geen proportioneel nut te zijn. Zowel de gemeente ( die te veel persoonlijke gegevens is gaan verspreiden en zo heeft gelaten) als het bedrijf lijken daarmee niet slechts zeer nalatig maar ook meervoudig onwettig en strafbaar verantwoordelijk.

Powerblast @Blokker_1999 • 2 november 2025 13:14

Op zich moeten ze ook het oude nummer afkoppelen. Je zou een link moeten behouden tussen het nieuwe en oude nummer, net voor de situaties die je noemt. Je zou alleen bij het nummer ook moeten kunnen aangeven of het nog actief is. Is het niet actief, kan het niet meer gebruikt worden voor nieuwe identificatie pogingen.

We stappen voor alles over na 2FA, zelfs voor eenvoudige mailaccounts. Maar een rijksregisternummer/BSN zou ineens wel een probleem zijn. Ergens klopt dat niet.

[Reactie gewijzigd door Powerblast op 2 november 2025 13:17]

Kroesss @Powerblast • 4 november 2025 08:46

En dat terwijl er een werkend systeem al jaren in gebruik is hiervoor: DigiD.

Croqy @Blokker_1999 • 2 november 2025 16:30

beter nog is dat BSN op zich een weinig relevant gegeven wordt, bv dat je als eindgebruiker bij digid met een persoonlijke ID een hash kunt generenen op basis van een private key en aanpassen wanneer je wil (bij een datalek van je PID). Zodra je BSN ergens voor wil toepassen, moet dit met de hash geverifieerd worden.

Zo kun je eindeloos persoonlijke ID's genereren die altijd herleiden naar dezelfde sleutel. Maar die wel flexibel genoeg is om de negatieve effecten van 1 unieke ID te mitigeren.

karma4 @Blokker_1999 • 3 november 2025 19:22

Dat snijdt hout. De angst voor het bekend zijn van een bsn is over komen waaien uit de vs waar het weten van een ssn zonder verdere validatie op de juiste persoon kennelijk is toegestaan. Verrassend is dat de vs geen identiteitsbewijs nog centrale burgerregistratie heeft.

Het ssn is daar voor verzekeringen en uitkeringen van belang.

laptopleon @JJ Le Funk • 2 november 2025 10:12

Als je bsn’s kunt veranderen, heb je er niet zo veel meer aan, want dat is nou net het enige wat echt uniek en vast is.

Identiteitsfraude lukt eigenlijk alleen als er geen goede controle is of als mensen eerst zelf actief meewerken. Dat ga je niet oplossen met nieuwe bsn’s.

@laptopleon • 2 november 2025 10:35

Voor bepaalde dingen wordt je identiteit online gevalideerd, dat houd in de praktijk in, dat een kopie van de gegevens van een identificatiemiddel vaak al voldoende zijn. Heb je ook nog het IBAN van de persoon, dan zijn er helaas extreem veel mogelijkheden voor misbruik.

[Reactie gewijzigd door djwice op 2 november 2025 12:26]

laptopleon @djwice • 2 november 2025 10:55

Kun je daar een voorbeeld van geven want ik kan geen situatie bedenken, behalve dan als mensen in de babbeltruc trappen.

In de praktijk zie ik tot nu toe fysieke middelen zoals bankpasjes, rijbewijs, paspoort en geverifieerde telefoons, altijd in combinatie met een wachtwoord of andere aanvullende controle.

Een iban is uiteraard geen beveiligingsmiddel en daar ook nooit voor bedoeld.

@laptopleon • 2 november 2025 12:25

Dat heb ik via DM gedaan. Wil geen mensen op ideeën brengen.

R_Zwart @JJ Le Funk • 2 november 2025 10:30

Hoe ga je dan oude documenten koppelen met het nieuwe BSN? Een aparte tabel bijhouden met het huidige en alle vorige BSN's? Het probleem wordt dan alleen maar groter. Maar zoveel kan je niet met een BSN. Met een naam en adres kan je veel makkelijker frauderen. En dat is openbare informatie in heel veel gevallen.

Xantis @R_Zwart • 2 november 2025 11:38

Dat hoeft natuurlijk niet een grote tabel te zijn. De overheid kan ook een onveranderbaar unieke identifier hanteren, deze intern opslaan en nooit delen en in plaats daarvan voor iedere instantie of third-party (afvalverwerker) obv instantienaam/identifier een gehashde variant teruggeven. Een beetje zoals passhash doet voor wachtwoorden.

Het nadeel hiervan is dat het aan elkaar relateren van informatie tussen verschillende overheidsinstanties hierdoor altijd via die centrale plek geresolved moet worden.

m_snel @Xantis • 2 november 2025 23:07

Ze zouden op je paspoort helemaal geen bsn nummer hoeven te plaatsen. Het document nummer zou voldoende zijn, en een koppeling bij een overheidsinstantie met je bsn.

karma4 @m_snel • 3 november 2025 19:24

Nope het gaat om de koppeling naar de burgerregistratie en de geldigheid. Als je het paspoortnummer als bewijs gaat hanteren van de juiste persoon is fraude en misbruik voor de hand liggend

m_snel @karma4 • 3 november 2025 21:06

Het bsn nummer zegt helemaal niks, z’n twee miljoen zzp’s gebruikte dat vijf hun facturen. En zelfs als je geen zzp’er bent maar wel facturen verstuurd moest je dat opgeven.
Er zijn daarvoor wel nieuwe nummers beschikbaar gekomen maar de oude waren natuurlijk al uitgelekt.

Privacy

@JJ Le Funk • 2 november 2025 10:37

Ik vraag me meer af waarom een afvalverwerker jouw BSN moet hebben. Een afvalverwerker hoort niet tot de instellingen die om jouw BSN mag vragen!

We moeten veel strenger zijn op het doorgeven en (langdurig) opslaan van persoonsgegevens. Ik zie nog steeds formulieren waar je (verplicht) gegevens in moet vullen die voor het doel helemaal niet nodig zijn. Wanneer bedrijven alleen persoonsgegevens opslaan die ze absoluut nodig hebben, dan zijn die bestanden ook minder interessant voor hackers.

Ik vind het ook zorgelijk dat bedrijven steeds vaker een scan van je paspoort vragen om je leeftijd te kunnen verifiëren. Je geeft ze daarbij gelijk heel veel extra informatie. Je BSN nummer staat ook op je paspoort (en rijbewijs). Je kunt niet controleren wat er aan de andere kant wordt opgeslagen, maar met een kopie van een paspoort wordt identiteitsfraude erg gemakkelijk.

NeuroTechie @JJ Le Funk • 2 november 2025 12:16

Maar waarom is dat een probleem? BSN is een nutteloos nummer waar je helemaal niks mee kan en waar alleen de overheid wat aan heeft. Buitenstaanders kunnen geen gegevens koppelen dus als iemand je naam en bsn heeft kan die er niet veel mee.

Privacy

@JJ Le Funk • 2 november 2025 10:20

Het probleem is niet het unieke idenitificatienummer.
Het probleem is dat het op diverse manieren misbruikt wordt als middel voor authenticatie of authorisatie waardoor kennis van het nummer gebruikt kan worden tijdens social engineering. Bijv. wanneer er contact gelegd wordt met de telefonische klantenservice van een verzekeraar, financiële dienstverlener, etc. en er "de laatste 4 cijfers" als controlemiddel gehanteerd wordt.

Maak dat soort controles niet-bindend. Dwz. fijn als je die middelen als bedrijf wilt gebruiken, maar dan blijft als het fout gaat ultiem de bewijslast aan de kant v/h bedrijf liggen dat deze wel de identiteit v/d klant correct heeft vastgesteld, en blijft het bedrijf aansprakelijk om e.e.a. kosteloos terug te draaien als blijkt dat ze dat niet kunnen.

Dit zet vanzelf de lijn in om alternatieve sterkere authenticatie-middelen te gebruiken.
En als dat niet blijkt te werken, kan er alsnog een deadline gesteld worden waarna de 'controle op BSN'-methode wettelijk volledig verboden wordt.

laptopleon @R4gnax • 2 november 2025 11:18

Dit probleem ontstaat naar mijn idee ook juist doordat bedrijven / semi-overheden enerzijds vooral van alles niet mogen vastleggen en daardoor weinig of geen andere opties hebben, of in ieder geval geen betere opties – maar anderzijds ook geen digID of ander, beter beveiligde optie tot hun beschikking hebben.

Je kunt (bijvoorbeeld) als afvalverwerker wel weer een eigen klantnummer uitdelen, maar dat is net zo min geheim. Daarmee heb je hetzelfde probleem als met bsn.

Dus ja, hoe weet de klantenservice van de vuilnisman dan dat jij echt R4gnax bent? Dan vragen ze maar naar rand-info zoals iban – want IETS is beter dan niets – of het bedrag op de laatste factuur, maar die optie is er niet altijd en je kunt je ook afvragen hoe veilig dat is. Zijn vaak bij dezelfde soort klanten precies dezelfde bedragen.

Kortom, de echte oplossing is dat er een authentificatie beter beschikbaar komt, dus digID moet idealiter ook voor de gemeentelijke vuilverwerker etc beschikbaar worden.

bluebug @laptopleon • 2 november 2025 11:41

Dan zal logius zijn eisen moeten aanpassen. Koppelen met hen voor inloggen met DigiD mag bijvoorbeeld alleen als jouw site volledig in eigen beheer is, dus je moet zelf verantwoordelijk zijn voor het updatebeleid en releases. Ook ondersteunen ze geen koppeling met een Azure back-end. Dat zijn twee van de redenen dat gemeenten, die veel gebruik maken van het Microsoft Power Platform, geen Power Pages sites kunnen gebruiken, al is de tweede nu nog te omzeilen door er een extra (dure) partij er tussen te zetten.

snah001 @laptopleon • 2 november 2025 11:42

Maar met een klantennummer kun je geen identiteitsfraude plegen bij aankopen of afsluiten van contracten.
Zo hanteren energiemaatschappijen ook klantnummers en daar kun je dan als hacker verder niks mee want er is geen koppeling naar identiteit die je kunt misbruiken voor identiteitsfraude.

Privacy

@snah001 • 2 november 2025 19:14

Juist. Je hebt dan nog steeds een identificatienummer en geen echte authenticatie, maar de impact is dan een stuk kleiner. En het potentieel voor lucratief crimineel misbruik is er vaak niet. Het gebruik van een eigen uitgegeven klantnummer is wat dat betreft minstens even veilig / betrouwbaar als een BSN-check, maar veel minder gevoelig voor misbruik.

[Reactie gewijzigd door R4gnax op 2 november 2025 19:15]

laptopleon @snah001 • 2 november 2025 19:47

Bij een ander bedrijf kan dat ook niet. Noem maar eens een bedrijf wat identificatie accepteert op basis van een bsn.
Andersom slaan energiemaatschappijen net zo goed mijn naam, geboortedatum, adres, iban, uniek id van de gasmeter, elektriciteitsmeter op. Net zo goed allerlei persoonlijke info, dus zo anders is dit niet dan een bsn.
Ik betwijfel daarnaast ook of een bsn interessant is voor hackers qua phishing, want mensen kennen dat toch niet uit hun hoofd en de meeste bedrijven werken er niet mee, dus vragen er niet om. En die dat doen nemen geen genoegen met alleen een bsn.

karma4 @snah001 • 3 november 2025 19:27

Met klantnummers is gewoon fraude gepleegd met een veranderkng van bezorgadres waarbij de klant achter het klantnummer zou moeten betalen. Zelfde pribleem met gebrek gedegen autenticatie

Nederland

@JJ Le Funk • 2 november 2025 11:46

Ja leuk.

Jij reset je BSN. Dan bereik je je pensioenleeftijd en kan het pensioenfonds van een baantje waar je aan het begin van je loopbaan gewerkt hebt je niet meer traceren om je een deel van je pensioen uit te keren. Of nog zo honderd andere voorbeelden.

Je hele professionele, persoonlijke en fiscale leven/ geschiedenis zit aan het BSN gekoppeld. Wanneer je daar in gaat zitten rommelen gaat het geheid ergens mis.

Privacy

@CivLord • 2 november 2025 19:21

Dezelfde overheidsorganisatie die in beginsel BSNs uitgeeft, kan ze ook weer intrekken en andere uitgeven. Bij zeer hoge uitzondering kan dat al. Alleen men wil er voor de gewone man simpelweg niet aan omdat de datahuishouding van veel organisaties niet met een veranderlijk BSN omweg kan en het risico op fouten - zoals je al aangeeft te groot is.

Alleen niets belet de overheid richting een opzet te werken waar een gelekt BSN verzegeld wordt, een nieuwe uitgegeven wordt, en de oude en nieuwe onder vermelding van een mutatiedatum aan elkaar gekoppeld worden. Wat wil zeggen dat alle zaken ondernomen met een oud BSN na datum X per definitie niet okee zijn. En alle zaken ondernomen voor die datum wel.

Je krijgt dan vast incidenteel ge-etter met diensten die domme dingen gedaan hebben zoals BSN gebruiken als primaire sleutel in databases usw. - maar dat is met handwerk recht te breien zolang die koppeling tussen oud/gearchiveerd en nieuw/actief BSN maar in te zien is door (rijks)overheidsorganen die door lagere overheden, en evt. private sector ondernemingen met speciaal privilege, aangesproken kunnen worden om dit soort situaties recht te zetten.

Het is een lapmiddel, ja.
Maar brengt wel een significante veiligheidsverbetering.
En terloops, wanneer het fout gaat illustreert het ook welke omgevingen nog niet met een veranderlijk BSN omweg kunnen. Zodat deze ook bijgewerkt kunnen worden. (Principe van 'kanarie in de koolmijn.')

[Reactie gewijzigd door R4gnax op 2 november 2025 19:23]

Nederland

@R4gnax • 3 november 2025 07:29

Maar brengt wel een significante veiligheidsverbetering.

Maar is dat werkelijk zo?

Weegt alle ellende die je op je hals haalt wanneer je iedere keer nieuwe BSN's uit gaat geven op tegen de risico's?
Met enkel een BSN kan je niets. Overal waar je een BSN nodig hebt moet je je ook met een ID-bewijs identificeren.

Privacy
Nederland

2 november 2025 09:43

Maar

en nu? Gaat de overheid de nummers vervangen? Denk het niet namelijk.

Het zou echt peanuts moeten zijn om dat nummer te vervangen juist vanwege de grote kans op misbruik, maar dat kan de belastingdienst waarschijnlijk weer niet aan.

Sissors @supersnathan94 • 2 november 2025 09:50

Vanwaar ga je uit van een grote kans op misbruik? Tot een paar jaar geleden kon je zo de BSN van elke ZZP'er opzoeken. En ja dat was ongewenst, dus dat is opgelost, en je wil niet dat de BSN op straat ligt. Maar tegelijk is het niet alsof een BSN nou zo'n topgeheim nummer is.

L00_Cyph3r @Sissors • 2 november 2025 10:08

Opgelost vind ik nou niet het juiste woord. De belastingdienst heeft iedereen een nieuw BTW nummer gegeven, maar iedereen die daarvoor al een eenmanszaak had is daarmee niet geholpen.

Zo ligt mijn BSN in nog genoeg mailboxen aangezien mijn BTW nummer op alle facturen staat.

Piemol @L00_Cyph3r • 2 november 2025 10:14

En afhankelijk van je eigen administratie en die van je klanten staat het ook in hun boekhoudpakket of zelfs ook in die van hun administratie-, boekhoud- en accountancykantoor. Sommige fiscale pakketten genbruiken, al dan niet openlijk, AI om facturen in te lezen. Dus je weet niet eens waar het allemaal terecht komt. Je weet wel dat het niet bij de mailbox ophoudt.

Sissors @L00_Cyph3r • 2 november 2025 10:15

Eens, voor nieuwe ZZP'ers is het opgelost, de BSN van alle bestaande ZZP'ers ligt nog op straat.

Kees BOFH @L00_Cyph3r • 2 november 2025 11:08

Zo ligt mijn BSN in nog genoeg mailboxen aangezien mijn BTW nummer op alle facturen staat.

Uit nieuwsgierigheid; hoe vaak is daar al misbruik van gemaakt? Waarom zou je een bedrijf hacken (lastig) als je gewoon geldige BSN's overal kan vinden?

Z80 @supersnathan94 • 2 november 2025 10:16

Niets. Zolang het nummer gebruikt wordt waarvoor het bedoelt is, is er niets aan de hand. En kun je er niets mee.

Het BSN is ter verificatie/controle of deze naam bij deze data hoort. Dit omdat een naam en geboortedatum meerdere keren kunnen voorkomen in een dataset. Terwijl dit verschillende personen zijn. Koppel er een uniek nummer aan, en het probleem is opgelost.

Mocht een bedrijf/bank/verzekering toch het BSN gebruikt hebben i.p.v. de correcte identiteitsverificatie zou hier een zware boete en verplichte schadeloosstelling aan vast moeten hangen. Welke zonder rechtszaak afgehandeld kunnen worden met slechts 1 aangifte bij de politie. En bij meerdere overtredingen intrekken van de vergunning. Dan is het rap gedaan met het misbruik.

Privacy
Nederland

@Z80 • 3 november 2025 20:37

Tsja. Was het maar zo simpel.

Er zal toch een reden zijn dat de overheid waarschuwt voor het lekken van je BSN.

Ben verder met je eens hoor dat dit natuurlijk nooit een ding op zich moet zijn, maar met een beetje data koppelen kom je een heel eind de verkeerde kant op.

Baardmeester @supersnathan94 • 2 november 2025 10:38

Ik denk zelf meer aan een extra verificatie code bij je bsn krijgt die elke x aantal jaar verloopt. Dan kan die worden vervangen bij datalekken en identiteitsfraude en hou je de onveranderlijkheid van de bsn.

Nederland

@supersnathan94 • 2 november 2025 11:37

Natuurlijk krijgt niemand een nieuw BSN. Dat lost niets op, maar levert wél een berg problemen op.

Ten eerste is er niets dat je enkel met een BSN kunt regelen, zonder dat je je moet identificeren met een ID-bewijs. Bedrijven die uit praktische overwegingen wat los met de regels zijn hebben bij mogelijk misbruik een bewijsprobleem.

Het probleem ban nieuwe BSN's zit niet zo zeer bij de Belastingdienst. Ze zullen wel iets moeten verzinnen om je gegevens die ze onder je oude BSN hebben geregistreerd aan je nieuwe BSN te koppelen. Maar met de uitgifte van nieuwe BTW-nummers aan eenmanszaken en ZZP-ers hebben ze daar al ervaring mee opgedaan.
Het probleem zit er in dat de overheid je BSN gebruikt om er voor te zorgen dat de juiste gegevens aan de juiste persoon gekoppeld worden. Van je zorgverzekering en zorgkosten. Van je werkgever, bank, hypotheekverstrekker, etc. en de belastingdienst. Van de gemeente waar je woon, de Sociale verzekeringsbank, het UWV, je pensioenfonds en zo nog tal van instanties en organisaties. Wanneer jij een nieuw BSN zou krijgen moeten al die instanties daarvan op de hoogte gebracht worden, moeten ze de wijziging goed doorvoeren en moeten ook de gegevens die onder je oude BSN zijn geregistreerd beschikbaar blijven. Dat levert geheid een hele berg meer problemen op voor een hele berg meer personen dan wat nu met de uitgelekte BSN's aangericht kan worden.

Privacy
Nederland

@CivLord • 3 november 2025 20:36

Maar met de uitgifte van nieuwe BTW-nummers aan eenmanszaken en ZZP-ers hebben ze daar al ervaring mee opgedaan.

En alle andere zaken waar ze hiervoor al een keer het BSN als vervanger van hadden. Dit is niet de eerste keer he? Sofi en SVN hebben we ook al gehad.

Nederland

@supersnathan94 • 4 november 2025 07:34

Sofi-nummer is exact hetzelfde als BSN. Er zijn alleen meer instanties en organisaties die er na de naamsverandering gebruik van gingen maken. En die overgang was voor iedereen op hetzelfde moment, waardoor instanties die hun administratie moesten aanpassen dat in één keer konden doen.

Privacy
Nederland

@CivLord • 4 november 2025 12:19

Het boeit me eigenlijk vrij weinig of ze er wel of niet ervaring mee hebben, database technisch is het allemaal niet zo heel spannend.

Maar als het verder niet zo’n probleem is vind ik wel dat de overheid hoer naar media en burgers wel eens wat duidelijker over mag zijn. Ze wekken zelf namelijk de indruk dat het wel degelijk een probleem kan zijn. Vervolgens lees je dat dit eigenlijk alleen is in combinatie met ID bewijs.

Als we het dan daar niet meer op de voorkant gaan zetten, dan scheelt dat al de helft.

Ik heb het op mijn paspoort standaard afgeplakt zitten. Als het nodig is haal ik het stukje tape er wel af.

@supersnathan94 • 2 november 2025 12:10

Omdat dit best heel complex is? BSN nummers worden bijvoorbeeld ook in de zorg gebruikt voor uitwisseling van Medische onderzoeksdata tussen instellingen.

Daar zal dus ook alles vervangen of aangepast moeten worden?

Privacy
Nederland

@Rolfie • 4 november 2025 12:22

Nou dat sowieso, want dat mag helemaal niet. Bsn mag alleen gebruikt worden in de zorg voor initiele koppeling van het dossier en voor verzekeringsdoeleinden (declaraties enzo).

Voor labresultaten en dergelijke moeten ze zelf een ander nummertje oid bedenken.

@supersnathan94 • 4 november 2025 12:46

Voor labresultaten en dergelijke moeten ze zelf een ander nummertje oid bedenken.

Medische onderzoeks gegevens die moeten uitgewisseld, moeten met het BSN uitgewisseld worden.

Ik zou wil willen adviseren om je eerst hierin te verdiepen, voordat je met dit soort argumenten komt.

[Reactie gewijzigd door Rolfie op 4 november 2025 12:47]

Privacy
Nederland

@Rolfie • 6 november 2025 01:56

Ik zou je willen adviseren duidelijker te zijn in je statements.

Voor medische onderzoeken (dus wetenschappelijke data op schaal) mag dit namelijk niet (op een paar uitzonderingen na). Daar moet je pseudoniemisering via en Trusted Third Party (TTP) doen bijvoorbeeld.

Voor zorgverlening, diagnostiek en persoonlijke labuitslagen die dus koppeling met het dossier nodig hebben heb je gelijk en geldt de Wet gebruik burgerservicenummer in de zorg (Wbsn-z). Voor medisch onderzoek geldt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de AVG

Voor onderzoek, kwaliteitsregistraties of datadeling tussen instellingen moet men een pseudoniem of ander onderzoeks-ID gebruiken dat niet direct herleidbaar is tot het BSN. Dat gebeurt vaak via een TTP die het BSN omzet naar een gecodeerd nummer voordat de data worden gedeeld.

Alleen bevolkingsonderzoek naar kanker en rijksvaccinatieprogramma (en nog eentje dacht ik) zijn daar weer van uitgezonderd. Dat was tijdens corona nogal een gedoe, omdat bepaalde data niet gedeeld mocht worden met BSN, waar dat bij andere data weer verplicht was.

karma4 @supersnathan94 • 3 november 2025 19:30

De domme fouf in deze is om het bsn als bewijs van de juiste persoon te zien.

bussie66 2 november 2025 10:24

"De gemeente geeft toe dat die data niet in dat bestand hadden hoeven staan"

dat lijkt mij het understatement van het jaar bij deze Gemeente.

Dat dit gebeurd is, is dat gewoon niet strafbaar?

R_Zwart @bussie66 • 2 november 2025 10:39

Afvalverwerkers staan niet in het lijstje van wie BSN informatie mogen verwerken. Maar strafbaarheid is niet zo zwart wit. Ja, als iemand opdracht heeft gegeven dat die informatie gegegen moet worden kan dat verder worden onderzocht. Maar wat als het een domme fout is? Wie moet dan gestraft worden? Als je die kant op gaat loop je het risico dat niemand meer iets durft te doen en alles vast loopt.

Webgnome @R_Zwart • 2 november 2025 11:36

Dus als het een domme fout is dan is het minder erg? Wat je denk ik bedoelt is dat als iemand een overtreding maakt de strafmaat anders is bij een eerste keer dader of wanneer duidelijk is dat het echt niet met opzet / bewust was.

Gezien de belangrijkheid van het BSN nummer lijkt het mij dat het toch niet met een 'foei' gesprek en het publiceren van een brief afgedaan word?

snah001 @R_Zwart • 2 november 2025 11:37

Nee, we moeten stoppen het telkens maar een domme fout te noemen.
Gewoon die persoon die daarvoor verantwoordelijk was ter verantwoording roepen, ja zelfs als het een domme fout is, anders stopt het nooit.
Moet je eens in het bedrijfsleven proberen, dan sta binnen de kortst mogelijke tijd buiten.
Ja, bij een kleine fout die geen vergaande gevolgen heeft kun je na een goed gesprek met die werknemer verder maar hier had die fout desastreuze gevolgen dus verantwoording afleggen en eventueel strafrechtelijk aanpakken.

karma4 @snah001 • 3 november 2025 19:29

De domme fout in deze is om het bsn als bewijs van de juiste persoon te zien. Zoiets lukt niet als je iets verder gaat met eisen op goede autenticatie.

Privacy
Nederland

@karma4 • 4 november 2025 12:24

En hoe ga je dat doen via bijvoorbeeld telefoon?

Sommige kanalen zijn niet het meest handige voor beveiliging maat wel voor convenience. En dan krijg je dus dat soort dingen.

@R_Zwart • 2 november 2025 11:43

Zelfs domme fouten zijn fouten die gestraft worden. Als jij een foutje maakt en een aanrijding veroorzaakt, krijg he toch een boete. Men men kan zich niet beroepen op ćik wist het niet "want iedereen behoort de wet te kennen (gedeeltelijk onzinnig aangezien dit onmogelijk is) maar een bedrijf, behoort de privacy wetgeving te kennen. Dus een flinke boete zou wel op zijn plaats zijn.

WhiteSnake76 @biomechanical • 2 november 2025 12:04

Krijg jij een Boete als je een Aanrijding veroorzaakt??? Nooit van gehoord, dan moet er wel iets meer aan de hand zijn geweest dan een dom foutje, bvb te hoge snelheid, telefoon in de hand, drank of drugs.

Maar je hebt wel gelijk, soms word een kleine vergissing hard afgestraft, en vind dat een boete hier zeker op zijn plaats zou zijn... alleen bij instellingen die voor de overheid werken moet je dan wel bedenken wie het uit eindelijk betaald... meestal zijn dat dan juist weer de gebruikers die het later via een tarief verhoging op hun bord krijgen.

m_snel @WhiteSnake76 • 2 november 2025 23:04

In het verleden kreeg je maximaal een boete als je iemand met drank op dood reed, zelfde met asociaal rijgedrag. Tegenwoordig zijn celstraffen meer de norm.

2 november 2025 11:39

Ik denk dat je de gemeente of het afvalbedrijf kan aanklagen wegens het ongeoorloofd doorgeven/gebruiken van je BSN-nummer.
Het beste in een class-action zaak

Of het lonend is, weet ik niet, maar het is denk ik de enige manier om zoiets uiteindelijk te kunnen stoppen

MrMarcie @metalmania_666 • 2 november 2025 11:45

Zeker doen, want dit is onvergeeflijk.

porky-nl 2 november 2025 09:42

Zou het helpen als we het gaan verbieden dat er eventueel losgeld betaald mag worden. Dus ook het betalen van losgeld strafbaar stellen?

Hack
Nederland
Privacy

@porky-nl • 2 november 2025 09:53

Nee, waarom zou dat helpen? Dan gaan er weer bedrijven komen in het buitenland die je kunt inhuren om je probleem op te lossen. Hoe ze dat doen, dat wil je niet weten. Zij sturen je gewoon de rekening en je hebt een factuur in handen om de kosten op te boeken en je hebt nooit losgeld betaald.

Of je gaat gewoon verzwijgen dat je problemen hebt en zoekt een creatieve boekhoudkundige oplossing om het losgeld te betalen. En mensen zullen niet meer weten dat hun data gelekt is.

@porky-nl • 2 november 2025 11:08

Beetje vriendelijker reageren zou je sieren "Wat begrijp je niet aan...". Kan je prima een beetje anders aanvliegen. Gewoon beter uitleggen wat je bedoelt. Dan komt het goed.

Wat meer on-topic: Ik begrijp wel wat je wilt zeggen, maar ik vraag me wel af of dit effectief is. Het is dan verboden de misdaad verder te belonen, maar de primaire misdaad is al gepleegd. Je gaat er kennelijk vanuit dat als er een wet is die verbiedt om losgeld te betalen, men minder geneigd is de misdaad primair te plegen. Daar zet ik vraagtekens bij. Ik denk dat ze eerder de druk verder opvoeren.

jacovisscher @Jack Flushell • 2 november 2025 11:35

In principe doen we dit wel vaker: het financieren van terrorisme, georganiseerde misdaad, etc is ook al bij wet verboden. En er is best een argument te maken dat het betalen van losgeld voor data bijdraagt aan een ondergronds crimineel verdienmodel.

Bovendien is het echte kwaad geschied: data is gelekt. Losgeld zou "misschien" kunen voorkomen dat die data makkelijk openbaar te vinden is, maar maatschappelijk valt die afweging volgens mij altijd de andere kant op. Wat ik veel interessanter zou vinden is als je het losgeld niet aan de criminelen zou uitkeren, maar aan de getroffen burgers. En ja, daar zitten juridisch én moreel haken en ogen aan. Maar als je als organisatie toch een paar ton kwijt bent: beter uitbetalen aan betrokkenen dan aan de criminelen.

DonChaot @porky-nl • 2 november 2025 10:59

Strafbaar stellen zorgt er enkel voor dat bedrijven wel twee maal gaan nadenken voor ze een lek melden. Ik heb liever dat de lekken daadwerkelijk gemeld worden. Dat zorgt er hopelijk ook voor dat ze gaan nadenken of ze alle gegevens wel nodig hebben en dat ze zorgen voor goede beveiliging van die gegevens.

@DonChaot • 2 november 2025 11:50

Ik heb liever dat bedrijven stoppen met gegevens te bewaren due ze wettelijk niet mogen hebben. En dat deze bedrijven, na 1 waarschuwing en flinke boete, zich as de wet houden. Bedrijven die dan weer in de fout gaan, of die lekken niet melden, mogen, van mij, per direct failliet verklaard worden en de verantwoordelijke personen een flinke celstraf krijgen. Zolang de straffen niet zorgen voor een verandering, dan zijn de straffen niet hoog genoeg.

Het gaat niet om de bedrijven, het gaat om de financiële veiligheid van de alle burgers!

Ze moeten stoppen met de bedrijven te beschermen tegen de fouten die ze maken. En met fouten bedoel ik ook de illegale verzamelwoede van informatie om meer winst te krijgen!

moonlander @porky-nl • 2 november 2025 10:04

Ik denk dat we hacken strafbaar moeten maken! Dan doen ze het vast niet meer.

Nederland

@porky-nl • 2 november 2025 11:25

Wanneer je het strafbaar gaat stellen gebeurt het stiekem.

En wat denk je wat voor maatschappelijke druk er komt om die wet weer in te trekken, wanneer die hackersgroeperingen de gestolen informatie gaan publiceren? Of naar buiten brengen dat ze de gegevens aan criminelen hebben verkocht omdat er niet op hun eisen is ingegaan?

Hoeveel databestanden met gevoelige gegevens denk je dat er op een site als gehacktegegevens.ru (zelfverzonnen naam) moeten worden gezet, waar iedereen in uitgelekte gegevens over zijn buurman kan zitten neuzen, voordat onder maatschappelijke druk weer wordt toegestaan om losgeld te betalen om publicatie van gelekte gegevens te voorkomen?

porky-nl @CivLord • 2 november 2025 11:57

Dus dan hoeven we niets meer strafbaar te stellen want dan gaat men dat stiekem doen, vreemde manier van kijken naar een probleem.

Waarom zou je als hacker iets stelen als het geen waarde meer heeft?

Nederland

@porky-nl • 2 november 2025 12:17

Je moet niet denken dat iets strafbaar stellen het probleem oplost. Welk probleem is 100% opgelost sinds de oorzaak strafbaar is gesteld?
Het strafrecht staat vol met zaken die verboden zijn en er werken honderdduizenden mensen bij de politie, openbaar ministerie en de rechtbank omdat mensen die verboden negeren.

Het slachtoffer extra onder druk zetten om te voorkomen dat deze de schade probeert te beperken is ook niet de wijze waarop ons strafrecht is ingericht.

De gegevens hebben op zich al een waarde. Anders zou er niet zo'n ophef over zijn wanneer ze gestolen/ gelekt worden.
Wanneer er zo'n ophef over mogelijk misbruik gemaakt wordt, zit er dus ook een waarde in het misbruiken van die gegevens. Dat de hackers nu de makkelijkste route kiezen om losgeld te vragen voor de gegevens weerhoudt ze er niet van om wat meer moeite te doen om geld te verdienen met het daadwerkelijk misbruiken van de gegevens, wanneer de makkelijke route niet meer werkt.

En zoals ik al schreef, hoe lang denk je dat zo'n verbod standhoudt wanneer de gegevens geopenbaard worden en iedereen daar op gewezen wordt? Dan hoeven de hackers maar een paar keer voor nop te werken, voordat hun oude verdienmodel weer werkt.

Wat zou helpen is in de eerste plaats wanneer ICT-beveiligingsconsultants en -oplossingen niet meer zulke exorbitante bedragen zouden kosten. En in de tweede plaats wanneer de oplossingen geen specialist nodig zouden hebben om ze te onderhouden. ICT-beveiliging is een dienst die de bedrijfsvoering moet ondersteunen, zoals een koffieautomaat voor het personeel en het onderhoud zou net zoveel moeite moeten kosten.
In de derde plaats zou meer kennis nodig zijn over wat wel en niet gedeeld moet/ kan worden met derden, zodat de omvang van een lek beperkt blijft, wanneer deze toch plaatsvind.
En ten slotte is het een internationaal probleem, dat internationaal aangepakt moet worden, zodat cybercriminelen zich niet achter een landsgrens kunnen verschuilen. Een goed begin daarvan zou zijn om meer aandacht te besteden aan de opsporing/ identificatie van cybercriminelen en ze op internationale opsporingslijsten zetten, zodat ze letterlijk in hun eigen land opgesloten zitten en opgepakt kunnen worden zodra ze naar een ander land gaan.

delpit 2 november 2025 12:36

Per direct stoppen met het BSN gebruiken als identificatiemiddel. Een BSN zou je namelijk juist redelijk openbaar moeten kunnen gebruiken om mensen aan administraties te knopen. Maar dan moet je niet tegelijkertijd net doen alsof het een soort van geheim identificatiemiddel is. Dat is het niet, dat is het nooit geweest, daar is het volstrekt ongeschikt voor. Het staat op identificatie-middelen, honderdduizenden kleine ondernemers zijn nog steeds eenvoudig terug te vinden. Het is simpelweg niet geheim.

Iedere keer dat jij je paspoort of rijbewijs even afgeeft of zelfs maar op de foute pagina laat zien is je BSN gecompromitteerd. En dat gebeurd zo ongeveer iedereen meerdere malen per jaar.

de actie van Schiermonnikoog is een stomme fout, de huidige status van BSN als identifier is veel stommer.

Nederland
Privacy

2 november 2025 10:22

Er zou een historische registratie kunnen komen, dus dat een BSN verlopen is, en vanaf een bepaalde datum geen nieuwe registraties meer kunnen krijgen.

Dus BSN 12355 bij geboorte.

12355 verlopen op 12-7-2021, vervangen door 75258 (en die registratie is alleen bij Binnenlandse Zaken, of wie er ook over gaat). De instanties die legale dingen met een BSN willen regelen hebben over het algemeen geen baat bij sjoemelen met een datum, en de overheden kunnen nieuwere registraties dus gewoon weigeren.

feddejaap 2 november 2025 12:42

Wat ik interessant vind. Hoe lang kan een bedrijf hier last van hebben/houden?

Hoe snel kom je zo’n hack te boven.

Schijnbaar is Omrin er nog niet helemaal bovenop en kunnen ze op de pagina waar ze normaalgesproken de uitstootgegevens publiceren van hun afvaloven nog altijd niet delen:

https://www.omrin.nl/ons-verhaal/reststoffen-energie-centrale/cijfers-en-documenten

Om te kunnen reageren moet je ingelogd zijn