NOS: Nederlandse gemeenten lekken nog steeds vaak gegevens zoals bsn's

Nederlandse gemeenten blijken nog steeds regelmatig gevoelige gegevens van burgers per ongeluk online te zetten. De NOS deed daar onderzoek naar en vond onder andere burgerservicenummers in bijvoorbeeld online bezwaarschriften.

De NOS keek naar raadsinformatiesystemen van gemeenten en zocht daarin op termen als 'burgerservicenummer' en naar cijfercombinaties. Daaruit blijkt dat Nederlandse gemeenten zeker 255 keer bsn's online hadden staan, maar ook namen, adresgegevens, e-mailadressen en telefoonnummers. Door die manier van zoeken is het ook niet duidelijk hoe groot het probleem precies is; waarschijnlijk is dat groter dan wat de NOS heeft gevonden.

Die informatie komt onder andere uit documenten die gemeenten online zetten in het kader van de Wet open overheid of omdat dat verplicht is bij vergunningstrajecten. De documenten die de NOS vond, gaan onder andere over bezwaren van burgers tegen azc's of andere gemeentelijke besluiten. Burgers moeten daar meestal persoonsgegevens voor achterlaten.

Openbaar, maar dan wel anoniem

Gemeenten moeten in de meeste gevallen bezwaarschriften openbaar maken. Daarbij moeten ze persoonsgegevens juist wel anonimiseren. Dat gebeurt regelmatig niet. Dat komt bijvoorbeeld door menselijke fouten. Gemeenten gebruiken en publiceren miljoenen documenten, waardoor zulke fouten sneller kunnen ontstaan.

De NOS ontdekte ook dat sommige gegevens al meer dan tien jaar online staan. De meeste documenten die de NOS vond, kwamen uit 2016 en 2017. Dat is een jaar vóór de AVG in werking trad en het bewustzijn toenam en er meer regels kwamen voor het publiceren en anonimiseren van gegevens.

Paspoort Unsplash

Door Tijs Hofmans

Nieuwscoördinator

17-07-2026 • 09:37

73

Submitter: Meg

Reacties (73)

Sorteer op:

Weergave:

Je lost dit probleem op door een BSN niet meer als verificatiemiddel te gebruiken bij het aanvragen van gevoelige informatie. Als je BSN dan lekt is er geen risico op fraude of misbruik.
Bor Coördinator Frontpage Admins / FP Powermod @Luchtbakker17 juli 2026 09:42
Verschuift dat het probleem niet naar het volgende item dat voor verificatie wordt gebruikt? Soms is verificatie nodig zonder dat je andere (technische) middelen kan inzetten.

[Reactie gewijzigd door Bor op 17 juli 2026 09:42]

Men gebruikt het BSN nu als zowel gebruikersnaam als het wachtwoord. Je zult het BSN ergens tegenaan moeten houden, je kunt niet simpelweg stellen: "het komt door de 11-proef, dus jij bent degene van wie dit nummer is". Door identificatie en authenticatie te scheiden kan de hele wereld het BSN vrijelijk gebruiken voor identificatie, maar niet meer voor het aanvragen van informatie.
Bor Coördinator Frontpage Admins / FP Powermod @Paul17 juli 2026 10:19
je kunt niet simpelweg stellen: "het komt door de 11-proef, dus jij bent degene van wie dit nummer is".
Dat is ook totaal niet wat de 11 proef doet. Die proef stelt alleen vast of een nummer een BSN nummer kan zijn. Het zegt verder niets over het nummer zelf. Het wordt gebruikt om fouten te vinden / tegen te gaan.

Men gebruikt naast het BSN ook andere informatie ter verificatie.
Dat weet ik, en dat is dan ook precies mijn punt. Je zegt "soms is verificatie nodig zonder dat je andere (technische) middelen kan inzetten." en dat kan simpelweg niet. Alleen het BSN is compleet onvoldoende om wat dan ook te verifiëren. Je hebt ALTIJD meer nodig dan alleen het BSN, want: "je kunt niet simpelweg stellen: "het komt door de 11-proef, dus jij bent degene van wie dit nummer is".", en de 11-proef is het enige wat je kunt doen als je niks anders hebt dan het nummer.

[Reactie gewijzigd door Paul op 17 juli 2026 10:29]

Bor Coördinator Frontpage Admins / FP Powermod @Paul17 juli 2026 10:35
Er is altijd andere informatie beschikbaar naast het BSN nummer. Denk aan bv NAW gegevens etc. Je checked altijd meerdere gegevens anders kan je het BSN uberhaubt niet aan een persoon koppelen.
"het komt door de 11-proef, dus jij bent degene van wie dit nummer is".
Dat doet dus ook echt niemand. Daar is de 11 proef totaal ongeschikt voor. Dat is alleen een soort checksum on te kijken of het opgegeven nummer een BSN kan zijn.
Er is altijd andere informatie beschikbaar naast het BSN nummer. Denk aan bv NAW gegevens etc. Je checked altijd meerdere gegevens anders kan je het BSN uberhaubt niet aan een persoon koppelen.
Wat bedoel je dan met "soms is verificatie nodig zonder dat je andere (technische) middelen kan inzetten."? Te beginnen met je definitie van "verificatie". Bedoel je daarmee "authenticatie", als in, degene die het verzoek doet is wie hij zegt dat hij is? Dat kan niet zonder andere middelen (en daar is het BSN totaal ongeschikt voor). Bedoel je daarmee "controleren of deze BSN hoort bij deze andere gegevens die ook in het verzoek staan"? Ook dat kan niet zonder andere middelen.

Jouw post impliceert dat de BSN op zichzelf genoeg is om iets te "verifiëren". Voor mijn part laat je de hele 11-proef achterwege en geloof je het nummer zijn blauwe ogen; ik ben het er simpelweg niet mee eens :)
Wie doet dat dan precies? Voor zover ik weet wordt de BSN enkel gebruikt ter 'controle' van de naam, zodat de koppeling met de juiste persoon gemaakt wordt in de systemen.
Dus ter identificatie, en niet ter verificatie (Daarvoor hebben we identiteitsbewijzen en DigiD)

Natuurlijk blijft het wel een persoonsgegeven, zoals je naam en geboortedatum. Dus ook daarmee behoort men gewoon zorgvuldig om te gaan.

[Reactie gewijzigd door NovapaX op 17 juli 2026 10:31]

Bij mijn weten, maar ik ben geen expert, wordt het BSN gebruikt als een soort primary key, om jou te onderscheiden van de andere mensen met dezelfde naam. Het is dus prima het te gebruiken om een uniek persoon aan te duiden, maar niet om het te gebruiken als verificatie dat de aanvrager is wie hij zegt dat hij is.

Ik denk dat een overkoepelende vraag is wat we met "verificatie" bedoelen, maar ik weet zo niet welke fraude of misbruik er mogelijk zijn als je het gebruikt als "uniek persoon aanduiden", wel als je het gebruikt als "authenticatie".
Zeker, maar dat is dan hopelijk geen plain tekst 'wachtwoord' dat op weet ik hoeveel plekken actief wordt verspreid en bekend is.
Hoe ik het zie, correct me if I am wrong: je BSN is een unieke code die in feite niet meer is dan een verwijzing naar een record in één of meerdere databases. Aan dit nummer zit metadata gekoppeld, zoals je naam.

Daardoor kunnen meerdere mensen Jan Jansen heten, omdat al deze personen een uniek BSN hebben. Het BSN fungeert dus als de primaire sleutel waarmee gegevens eenduidig aan een persoon gekoppeld zijn.

Een BSN kun je niet zomaar aanpassen, omdat dit de link vormt tussen verschillende systemen, zoals de Belastingdienst, gemeente, CBR, etc. Het wijzigen ervan zou de consistentie tussen deze databases verstoren.

Daarom zou het BSN eigenlijk alleen een unieke identificatie (een soort locatie of sleutel) in een database moeten zijn. Daarbovenop zou je prima een aparte verificatiecode kunnen gebruiken. Als die verificatiecode wordt gelekt, kan die eenvoudig gereset worden, zonder dat de onderliggende koppelingen tussen systemen worden aangetast.
Bor Coördinator Frontpage Admins / FP Powermod @mc_maarten17 juli 2026 10:38
Met als nadeel dat er "weer" een extra verificatiecode ergens opgeslagen, verwerkt en bewaard moet worden. Je BSN heb je o.a. nodig wanneer je zorg nodig bent. Dat kan redelijk acuut zijn. Ik voorzie een hele boel "verificatiecode vergeten" situaties wanneer mensen nog een extra "ding" moeten onthouden of opleveren wat de snelheid in belangrijke processen kan verstoren.
Het probleem met het BSN nu is dat het in de praktijk bijna als een pincode of wachtwoord wordt gebruikt. Op je bankpas staat ook niet je pincode, en dat is niet voor niets.

Afhankelijk van waarvoor je je moet identificeren, kan het juist wél nuttig zijn om een extra verificatiestap te hebben. Denk aan het openen van bankrekeningen, het aanvragen van leningen of het afsluiten van dure (telefoon)abonnementen op jouw naam. Maar ook bij zaken zoals het aanvragen van huurtoeslag, zorgtoeslag of belastingteruggaven, waarbij het geld anders naar de rekening van een fraudeur kan gaan, zou zo’n extra stap helpen.

In situaties waar snelheid belangrijk is, zoals in het ziekenhuis, of wanneer je fysiek bij een bank bent, kan je pasje in combinatie met je BSN dienen als unieke sleutel. Als deze gegevens worden gestolen, kun je eenvoudig een nieuw pasje aanvragen, in plaats van dat je hele identiteit (je BSN) vastligt en niet te wijzigen is.

Op die manier scheid je identificatie (wie je bent) van verificatie (bewijzen dat jij het echt bent), wat het systeem flexibeler en veiliger maakt zonder dat het in alle gevallen extra complex hoeft te worden.
Het BSN gewoon jouw klantnummer bij de overheid. Niet anders dan jouw rekeningnummer bij je bank of KVK nummer. Het is niet meer dan dat!

Een klantnummer heeft helemaal niets met beveiliging te maken.
Maar het is wel een bijzonder persoons kenmerk en daarom is het schadelijk.
Je zou het misschien op de manier kunnen doen zoals het in een mobiel netwerk wordt gedaan. De IMSI is een unieke key waar alles aan vast hangt, maar naar buiten ben je bekend via je MSISDN (06 nummer). De MSISDN kan je veranderen maar de IMSI blijft hetzelfde zodat alle configuraties e.d. aan de subscriptie blijven gekoppeld.
Dat klinkt als een goed idee, omdat je op die manier identificatie (wie je bent) scheidt van verificatie (bewijzen dat jij het echt bent).
Het zou al heel wat schelen als iedereen vanaf een bepaalde leeftijd een persoonlijk wachtwoord zou moeten kiezen als manier om te valideren of deze persoon ook echt de persoon achter het BSN is.

Als je dit dezelfde status geeft als een wachtwoord zou moeten zijn zouden zelfs gemeentes en andere instanties niet eens hoeven te weten wat het precies is.

Het BSN is voor verificatie m.i. compleet ongeschikt doordat het niet als een wachtwoord achtig iets behandeld wordt maar eerder als een gebruikersnaam; het staat open en bloot op je ID (ook handig als je portomonee gejat wordt weten ze meteen je BSN..) en instanties welke dat nodig achten kunnen het gewoon inzien. Het voelt allemaal een beetje alsof ik me als jou voor kan doen puur omdat ik weet dat je gebruikersnaam 'Bor' is. In de zorg is het nog kwalijker en is de enige vorm van verificatie die ze doen vaak je geboortedatum.

Of je gebruikt bestaanse infra als DigiD ter verificatie. Zolang er maar iets gebruikt wordt waarbij alleen jij die verifcatie kan doen onder normale omstandigheden. BSN of geboortedatum is dat niet.

[Reactie gewijzigd door !mark op 17 juli 2026 10:43]

Misschien niet de gehele bsn maar X aantal posities van je bsn? Andere manieren zonder tech zijn er niet qua verificatie lijkt me.

[Reactie gewijzigd door dutchnltweaker op 17 juli 2026 09:44]

Bor Coördinator Frontpage Admins / FP Powermod @dutchnltweaker17 juli 2026 09:47
Een X aantal posities is waarschijnlijk niet uniek genoeg. Je kan met een beperkt aantal posities bv geen 11-proef doen.

Voor wie de 11 proef niet kent:

De 11-proef is een controle die wordt gebruikt om te controleren of een reeks cijfers, zoals een BSN, correct kan zijn. Bij een BSN van 9 cijfers wordt elk cijfer vermenigvuldigd met een gewicht dat afloopt van 9 tot 1, afhankelijk van de positie van het cijfer. De som van deze producten moet deelbaar zijn door 11 zonder rest om het nummer als geldig te beschouwen.

Voorbeeld:

Voor een mogelijk BSN 123456782 wordt de berekening als volgt uitgevoerd:

(1×9) + (2×8) + (3×7) + (4×6) + (5×5) + (6×4) + (7×3) + (8×2) + (2×1)
Dit geeft: 9 + 16 + 21 + 24 + 25 + 24 + 21 + 16 + 2 = 158
158 ÷ 11 = 14,36 , geen geheel getal, dus het BSN is niet geldig volgens de 11-proef

[Reactie gewijzigd door Bor op 17 juli 2026 11:58]

@Bor
Leg eens uit: 11*14=154 volgens mij.
Nee, je lost het niet op èn je verschuift het niet. Je maakt het probleem alleen wat minder erg.
Bor Coördinator Frontpage Admins / FP Powermod @Triblade_847217 juli 2026 10:14
Dat hangt er natuurlijk vanaf wat het alternatief is dat je gebruikt. Je verschuift het probleem wel degelijk wanneer je een ander gevoelig stuk informatie moet gebruiken.
DigiD, scannen van de chip in paspoort of rijbewijs.
Eventueel via een 'gatekeeper' zoals je bank (ken je iDin nog?).

Dat zijn mijns inziens best wel prima verificatiemethoden, en worden al jaren gebruikt.

Overigens werken al deze methoden op basis van een (eerste) verificatie via het identiteitsbewijs. (hetzij digitaal via NFC of aan de balie)

Daar ligt mijns inziens nog een groter probleem: Vanwege de identificatieplicht moet je in feite altijd met een 'wachtwoord van je leven' in je achterzak over straat.
Bor Coördinator Frontpage Admins / FP Powermod @NovapaX17 juli 2026 10:39
Allemaal zaken waarbij je afhankelijk bent van online techniek wat je kwetsbaar maakt. Die hebben naast voordelen ook duidelijke nadelen.

Uiteindelijk is het gewoon een kwestie van een risico analyse; kans x impact.

[Reactie gewijzigd door Bor op 17 juli 2026 10:39]

Dat werkt niet zodra bv het ziekenhuis moet communiceren met je zorgverzekeraar. Als dat niet gebeurd op basis van een uniek ID (dat wel landelijk hetzelfde moet zijn per persoon) dan gaat geheid een keer fout.
Het is een beetje als met dat , wat was het, baarmoederhalskankerlab. Die kregen nu de bsn, maar als je dat niet meestuurt moet je de mapping van bsn naar een ander uniek id elders doen, bijvoorbeeld bij de huisarts of ziekenhuis. Dan komt de kwetsbaarheid daar te liggen.
Het is nog steeds een persoonsgegeven, en daardoor ook te misbruiken.
Ik heb nog nooit meegemaakt dat een BSN als verificatie wordt gebruikt. Ik ken het alleen als identificatie.

Voor verificatie wordt doorgaans een ID-bewijs (off line) of DigiD (online) gebruikt.
Volgens mij was het daar zelfs nooit voor bedoeld. Ik snap niet hoe BSN de naam en het gebruik heeft gekregen voor verificatie.


Het zou Tweakers.net sieren als ze bij dit soort artikelen een infoblokje plaatsen over de feiten rondom BSN.
AuteurTijsZonderH Nieuwscoördinator @Dakdak17 juli 2026 10:08
Wat zou je daarin willen zien?
We leggen nu het middel vast op het basisdocument, en niet de uitslag. Als we die lostrekken, dan kan controle met BSN prima. Dat stelt eisen aan de kwaliteit van het controle proces, want achteraf is die niet meer zomaar controleerbaar vanaf het basisdocument. Geef die een unieke identificatie en sla de gebruikte gegevens elders op?
Klopt. Alle externe buros willen van ZZP de BSN omdat ze aan wettelijke eisen moeten voldoen. Een gigantische risico waar de overheid zelf de oorzaak van is.
We moeten eens stoppen met het domme gebruik van onwijzigbare gegevens voor identificatie en verificatie. Maak het BSN (maar ook bijvoorbeeld paspoortnummer enzovoort) nutteloos voor alles behalve een soort van sleutel in een database.

volgens mij is het BSN van een groot deel van Nederland gewoon pseudo openbaar door alle data lekken en slecht gebruik (zzp KVK btw bijvoorbeeld).

[Reactie gewijzigd door Hemingr op 17 juli 2026 10:15]

Ik denk dat overheden enz. vooral moeten stoppen met het behandelen van het BSN als een vertrouwelijk gegeven. Dus als er iemand zegt "mijn BSN is 123456789" dan niet dat als bewijs nemen dat dat inderdaad de persoon is die hij volgens het BSN zou moeten zijn.
Hoe zou iemand zicht dan moeten identificeren?
Het bsn is begonnen als extra controle slag voor identificatie. Dit omdat je meerder mensen met de zelfde naam en geboortedatum kunt hebben. Door een uniek nummer aan een naam te koppelen los je dat probleem op.

BSN misbruiken voor van alles en nog wat geeft de problemen. Het is namelijk GEEN identificatie middel op zich. En dat zou het ook nooit moeten zijn.
In de zorg wordt BSN gebruikt als unieke sleutel om gegevens te kunnen uitwisselen en gegevens aan de juiste patiënt te kunnen koppelen. Welke unieke sleutel je ook kiest, het is nooit ideaal. En je wilt ook geen wildgroei aan unieke sleutels die ieder ook aan een uniek persoon gekoppeld moeten worden.

Het probleem zit vaak in de ondersteuning door digitale systemen en gebruikersfouten. Beide zijn oplosbaar maar kosten tijd.
Dat het BSN hiervoor gebruikt wordt is begrijpelijk. en zorgt ook voor een unieke identificatie. En dit geeft ook geen enkel probleem. Het is in dit geval puur een nummer die aan een patiënt gekoppeld zit.
Offline: door middel van een officieel identificatiebewijs (wat je in principe toch altijd moet kunnen tonen)

Online: Digid login met MFA
Offline: dit wordt in de zorg gedaan, daarbij wordt het unieke id van het identificatiebewijs wel opgeslagen om te kunnen aantonen dat de validatie van de patiënt heeft plaatsgevonden. Dan leg je weer een unieke sleutel van een persoon vast. Dit zou ook in gemeenteland kunnen maar dan geldt hetzelfde probleem.

Online: dat is de mooiste oplossing, helaas wordt dit door de gebruikte systemen niet ondersteund. Burgers kunnen op allerlei manieren contact leggen met de overheid. En die overheid is weer verplicht om dat te ondersteunen. Dus ook e-mails en WhatsApp-berichten verwerken en opslaan. En kunnen reproduceren, bijvoorbeeld bij een beroep op de Wet Open Overheid (WOO). De verwerking van die gegevens is vaak handwerk dat niet wordt ondersteund door de systemen die erachter zitten. Dat wordt wel beter maar een fout is helaas snel gemaakt.
Maar niet iedere communicatie kan via ieder kanaal. Email, brieven, whatsapp zijn alleen geschikt voor zaken waar de identiteit van de burger niet super belangrijk is of waarin privacy minder toegevoegde waarde heeft. Een medische uitslag vs iemand die een kapotte straatlantaarn meld.
En hoe bepaal je of die persoon is die hij claimt te zijn bij de aanvraag?
Met een ID-kaart, paspoort, rijbewijs of online met Digi-D. ;)
Waar gebeurt dit dan? Want ik ken werkelijk geen overheidsorgaan die een BSN accepteert als indentiticatie dan wel authentificatie. De afgelopen jaren is het gebruik van BSN op deze manier vrijwel gereduceerd tot 0.

[Reactie gewijzigd door WouterL op 17 juli 2026 11:42]

Alle overheden gebruiken BSN als identificatie: op wie hebben deze gegevens betrekking.

Voor authenticatie wordt het inderdaad niet gebruikt. Daarvoor heb je offline een ID-bewijs en online DigiD.
Ja maar alleen in combinatie. Veelal dus een geldige DigiD-inlog. Als een willekeurige inwoner die zich presenteert met een BSN krijgt nul op rekest. Zoals het hier wordt voorgesteld, werkt het niet. Overigens vind ik het BSN als koppel vlak begrijpelijk, maar zie ik de meerwaarde van ditzelfde BSN terugkomen in de output niet. Zo komt bij onze aanvraagformulieren, maar zo werken vrijwel alle zaak systemen, het BSN terug als veld. Terwijl de werkelijke koppeling al onderwater heeft plaatsgevonden. Dit is dan ook de reden dat veel van dit soort formulieren zonder goede reden zijn voorzien van een BSN, waardoor het risico op onrechtmatig openbaren weer wordt vergroot. Dat ziet er dus zo uit: DigiD aanvraag > koppeling > output formulier (voorzien van BSN). Ambtenaren doen verder niks met het BSN veld. De gegevens zijn al uit het BRP gehaald.

[Reactie gewijzigd door WouterL op 17 juli 2026 11:43]

als die BSN op een officieel overheids document staan, zoals paspoort, ID kaart of rijbewijs (die laatste niet 100%, maar wordt vaak geaccepteerd) krijg je geen nul op rekest.

ze controleren dan de echtheid van het document, en dus hoe legitiem dat BSN nummer is.
Je houdt dan natuurlijk nog wel steeds het probleem dat je mensen met het BSN nummer uniek kunt identificeren. En dus ook gegevens op basis van het BSN kunt koppelen. Vanuit AVG oogpunt is dit uiteraard nog steeds niet wenselijk.
Waarschijnlijk minder populaire opmerking maar waarom niet voor publicatie dit geautomatiseerd laten scannen.
En ja met lokaal *1 draaiende AI kan je dit heel goed afvangen. Iets in de vorm van zoek in alle documenten naar de term: BSN, Burgerservicenummer, paspoort nummer, rijbewijs etc met daarbij binnen 4 woorden voor of na een cijferletter combinatie welke refereert aan deze persoonlijke informatie.
Gevonden, markeer voor moderatie.

*1: lokaal kan binnen overkoepelende NL overheid maar in ieder geval geen publieke cloud zoals Google, OpenAI of Anthropic etc.
Waarom een AI daarvoor draaien als je het met Microsoft 365 Data Loss Prevention al kunt aftikken? De meeste gemeenten gebruiken toch al MS365, dus waarom zouden ze dit niet implementeren?
Los van het feit dat het cloud microsoft is en in het huidige klimaat dat wellicht niet de beste keuze is. Had dit wellicht 5 jaar geleden al een goede (tussen) oplossing kunnen zijn. (Als het toen al bestond)
Maar je wilt niet dat elk document simpel op keyword al wordt tegenhouden want processmatige documenten kunnen best vaak een woord zoals burgerservicenummer of afkorting BSN bevatten die alleen tekstueel voor het document nodig is maar niet een werkelijk nummer bevatten. Daarom moet je het op context zoeken dus relatie tussen woord op positie a vs getal/kenmerk op positie b.
Zo zal een brief kenmerk nummer niet als paspoort nummer herkend moeten worden ook al zou de structuur hier wel op kunnen lijken.
Daar zit dan ook de 'kracht' van AI tov keyword zoeken.
DLP bestaat al zeker langer dan 5 jaar ;)
En je kunt daarin keurig aangeven wat wel of niet mag, welke partijen deze data wel of niet mogen ontvangen, wanneer een waarschuwing tonen en ga zo maar door, welke processen of applicaties uitgezonderd worden. Maar het moet wel 'door' de MS365 processen heen, dus Office documenten, emails en PDF's zullen we maar zeggen, als jij een API koppeling hebt tussen applicaties, zal DLP daar uiteraard niets mee doen, want die datastroom loopt niet door MS365.

DLP doet ook de 11-tests bijvoorbeeld (hierboven uitgelegd door @Bor ) om dat soort false positives tegen te houden. Waarom AI daarvoor gebruiken als er vastgelegde standaarden zijn, waarmee dit te detecteren is? AI is geen wonderolie dat al je problemen verhelpt.

[Reactie gewijzigd door walteij op 17 juli 2026 10:44]

Dat zou anno nu misschien kunnen maar niet de 10 jaar geleden. Overheid en tech … en zeker gemeenten en tech…

[Reactie gewijzigd door Rouwette op 17 juli 2026 10:02]

En toch zijn er ook op dit forum veel mensen die er voor pleiten dat bijvoorbeeld alle infrastructuur in handen van de overheid komt
Je hebt er niet eens AI voor nodig. Wij hebben al een paar jaar een systeem dat onze mail (ook intern) checkt op BSN's en bankrekeningnummers. Het zijn patronen waar ie naar kijkt. Het is niet 100% perfect, maar genoeg om mensen scherp te houden. En we hebben niet voor niets een optie om een mail te encrypten als het niet anders kan dan dat er BSN's in de mail zitten.
Dit is echt geen nieuwe materie, maar mensen blijven mensen, dus er zullen altijd een paar zijn die niet goed opletten. En zoals iemand anders al opmerkte, is het niet eens zo vreselijk veel, als je kijkt naar de schaal waarom dergelijke gegevens worden verwerkt door tal van overheidsinstanties. Een paar honderd nummers is niet echt veel. Uiteraard nog steeds niet nodig, maar ja...ga iedereen maar perfect maken. Succes :+
Een paar honderd bsn’s (of wat het ook precies zijn) over een periode van minimaal tien jaar, op een bevolking van 18 miljoen is betrekkelijk weinig.

Gemeentes presteren heel wisselend, maar het zijn dan ook complexe organisaties die met zeer diverse vakgebieden en problemen te maken hebben, overal verstand van moeten hebben, met regels die constant veranderen en vaak met een onderbezetting en ontoereikend budget kampen. Het is toch een beetje alsof je iemand een omafiets geeft en constateert dat hij de wielerronde niet gewonnen heeft.
Ik ga er (zonder bewijzen te hebben) vanuit dat er op het Dark Web al lang een volledige lijst met BSN nummers rondgaat. Mits het althans interessant genoeg is voor hackers en scammers. Er zijn inmiddels genoeg lekken geweest die grote delen hebben blootgelegd. Een beetje creatief verzamelen en je hebt het grootste deel van Nederland te pakken lijkt me.
Het is toch een beetje alsof je iemand een omafiets geeft en constateert dat hij de wielerronde niet gewonnen heeft.
Men verwacht niet dat met die omafiets een race gewonnen wordt. Men verwacht dat met die omafiets aan de verkeersregels wordt gehouden, net als dat anderen op de weg dat ook moeten doen.

[Reactie gewijzigd door The Zep Man op 17 juli 2026 10:28]

Dit is een beetje bedrieglijk vermeld in dit artikel. het gaat niet om 255 BSN-nummers maar 255 documenten met BSN nummers. Sommige bevatte hele lijsten.

En ik weet niet waarom maar maar NOS meldt zelf ook alleen expliciete getallen over documenten met BSN-nummers.
Desondanks vonden de NOS en Nieuwsuur weer honderden documenten met e-mailadressen, privételefoonnummers en adresgegevens van burgers. Ook zaten er documenten tussen met nummers van identiteitsbewijzen en zelfs burgerservicenummers (bsn).
Dit suggereert wel sterk dat dat die 255 documenten maar een klein deel zijn van alles wat ze hebben gevonden maar dat is natuurlijk maar een interpretatie van mij.

Maar ondanks alles ga ik er vanuit dat ze misschien wel hun best hebben gedaan maar ik kan me haast niet voorstellen dat ze elk document ooit, dat gemeentes om die reden online hebben gezet voor heel Nederland, allemaal hebben lopen scannen. Dus misschien is dit nog maar het topje van de ijsberg. Maar wederom, dat is wat ik denk en nergens op gebaseerd.
Ik "zat" een tijd bij een adviesraad van een middelgrote gemeente. Je wil niet weten wat voor papieren ellende er wordt rondgepompt. FotoPDF-jes, niet doorzoekbaar, ontoegankelijk. Kleuren, tabellen, tekstvakken met grijze achtergrond. Grijze smurrie kopietjes. Ga er maar aan beginnen, als junior of stagiair. Met een al dan niet digitale marker alles weglakken. Dan zijn er twee versies van dat document, onbewerkt en bewerkt, met elk hun eigen traject van publicatie en archivering. Dan gaat het naar de een of andere webmaster/redacteur die het gewoon netjes op de portal zet.

Het grootste probleem volgens mij is dat niemand echt verantwoordelijk is. Elke keer komt er wel een aanpassing op de werkwijze, de afdeling communicatie speelt het "sorry" script af en daar blijft het bij.

Over 10 jaar zal waarschijnlijk de zoveelste junior of stagiair nog steeds zuchtend met zijn (digitale) marker over documenten lakken.
Het probleem is gewoon dat het uiteindelijk mensenwerk blijft, en dat er een grote hoeveelheid documenten moet worden gepubliceerd. Dat is simpelweg fout gevoelig; zelfs met digitale hulpmiddelen. Perfectie eisen is een utopie, en gaat bovendien gemoeid met disproportionele middelen. Vervelend dat het soms mis gaat, maar eigenlijk onvermijdelijk.
Zo kennen we de overheid weer. Verantwoordelijkheid voor de burger, maar niet voor de ambtenaar en al helemaal niet de leidinggevenden.
Ik merk dat foto/pixel-gebaseerde documenten nu standaard door macOS / iOS worden geanalyseerd en daardoor leesbaar en doorzoekbaar worden gemaakt. Dat was 10 jaar geleden vaak nog een betaalde optie in scannersoftware. Zeker de betere ocr-software is nog steeds niet bepaald gratis.

Daardoor alleen al is de doorzoekbaarheid toegenomen. Het is te verwachten dat er daardoor veel makkelijker van alles te vinden is. Anderzijds is het ook veel makkelijker om daar dan geautomatiseerd wat aan te doen en rekening mee te houden / mee te werken door een archiefversie en een geredacteerde versie. Maar dat kost moeite en het kost vooral tijd om de betrokken ambtenaren dat gewoon te maken. Ik vrees dat veel van die ambtenaren dat niet meer op gaan pakken en daarnaast al nauwelijks tijd hebben voor dit soort zaken.
F_J_K Forummoderator 17 juli 2026 10:26
Dit is geen IT- of softwareprobleem maar een mensen-probleem. Waar mensen wel eens een foutje maken.

Niet dan 1 geval niet al een te veel is. Maar toch. 10+ jaar, honderden gemeenten, vele miljoenen documenten. Dan zijn die aantallen eigenlijk verbazingwekkend laag. Zouden er per paar miljoen nieuwsartikelen meer, of minder fouten zijn te vinden?
Ik denk dat een ieder die hier commentaar levert in dezelfde periode meer fouten in zijn werk heeft gemaakt. Maar de overheid (en grote bedrijven) liggen nu eenmaal onder een vergrootglas.
Hopelijk is dit allemaal ook meermaals gescraped en gebruikt als input voor AI systemen, want dan kan ik voortaan gewoon ChatGPT vragen wat m'n bsn is.
Met 342 gemeenten in Nederland welke ieder een eigen draai geven aan de musical die op gemeentehuizen wordt gespeeld, is het een uitdagende taak om informatiebeveiliging gedegen uit te bouwen. Ik spreek uit ervaring. Met de introductie van BIO2 is het merkbaar dat dergelijke programma's om informatiebeveiliging naar een volwassener niveau te tillen in het leven worden geroepen maar helaas ontbreekt het vaak aan kennis en ervaring. Hierdoor worden vaak externe partijen opgetrommeld om de boel een stukje veiliger te maken middels techniek maar de menselijke kant komt helaas slecht mee (zie gebrek aan ervaring en kennis).

Het heeft me altijd al verbaasd dat we in zo'n klein land zo'n ontzettend gefragmenteerde aanpak hanteren wat betreft het lokaal bestuur voorzien van middelen om haar taak goed uit te kunnen voeren. Amsterdam zet in op digitale soevereiniteit maar de gemeente midden in de polder is nog bezig met een SharePoint migratie welke al 3 jaar duurt.

Dat er lokale samenwerkingen worden opgetuigd om de IT dienstverlening voor meerdere gemeenten te bundelen onder 1 dak helpt voor een deel bij dit probleem maar creëert elders weer andere zoals capaciteit of doelgerichtheid.

Ik ben bang dat we dit soort informatiebeveiligingsproblematiek nooit echt goed kunnen oplossen door het gefragmenteerde landschap. Ik ben benieuwd hoe jullie hierover denken.
Het BSN is een handig iets voor administratieve doeleinden.
Het is in feite gewoon je (onveranderbare) naam ter identificatie.
Waardoor het probleem van schrijffouten en naamswijzigingen ondervangen wordt.

Het is een persoonsgegeven (zoals je naam), en meer dan dat moet het gewoon niet zijn.
En ik geloof ook niet meer dat het veel meer dan dat is tegenwoordig. Maar ik hoor graag voorbeelden waarbij met je BSN meer kan 'regelen' dan met je gewone voor- en achternaam.
Ik snap eigenlijk niet zo goed waarom het BSN zo misbruikt wordt. Het is toch gewoon mijn unieke naam bij de overheid? Jan Janssen geboren op 01-01-1970 hoeft natuurlijk niet uniek te zijn maar bsn is dat dan wel. Maar waarom zou dat een geheim moeten zijn? Er zijn legio andere manieren om te verifiëren of iemand is wie die zegt dat die is, zoals ID-bewijs fotocontrole of digitaal met DigiD.
Dat inderdaad. Een alternatief zou zijn: Jan Jansen, geboren 1-1-1970 21:55, ouders piet en truus Jansen, etc. Maar als je die informatie heb ben je net zo ver als dat je de bsn weet.
Omdat ieder stukje persoonsgebonden informatie kan worden misbruikt.

Variërend van iets eenvoudigs als noemen van een naam bij de whatsapp-scam van een oud omatje tot aan de geraffineerde reclames op facebook die beeltenissen en stemmen van bekende Nederlanders gebuikten om mensen geld af te troggelen.

Net als dat je bij het openbaar worden van je iban code op moet gaan letten of er geen grappenmakers die iban gaan gebruiken voor een Europese incasso moet je bij het BSN dus opletten of er niet iemand in jouw naam zaken bij de overheid gaat proberen te regelen.
Maar dan is het mis dat dat met iets als een BSN kan, daar zijn toch veel betere manieren voor inmiddels.

Om te kunnen reageren moet je ingelogd zijn