Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

| AE 9513 | Privacy | 31 reacties

Een lezer vroeg me:

In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer?

Nee, dit klopt niet. Ook onder de Privacyverordening blijft het gewoon verboden om iemands BSN te gebruiken, tenzij in een wet expliciet staat dat je hem móet gebruiken. (Een BSN mág je dus nooit gebruiken, soms móet je het gebruiken.)

De verwarring komt door het feit dat de Privacyverordening vermeldt dat de Richtlijn waar de Wbp op is gebaseerd, wordt ingetrokken. De Wbp wordt dan ook ingetrokken per 25 mei volgend jaar. Artikel 24 Wbp gaat dan gezellig mee, en in dat artikel staat het verbod op verwerken van iemands burgerservicenummer.

Echter, de regering heeft al een Uitvoeringswet AVG aangekondigd waarin ze eigen aanvullingen bovenop de AVG gaat doen. Dat mag, de AVG vermeldt op diverse plekken dat een land zelf keuzes mag maken. Zo staat er in dat je vanaf zestien jaar je eigen beslissingen over persoonsgegevens mag nemen, maar dat een land die grens omlaag mag halen (tot minimaal 13).

Artikel 44 van de huidige tekst daarvan is letterlijk artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

En ja, ik weet dat deze tekst net uit de internetconsultatie is en dat er nog van alles kan gebeuren. Maar ik acht de kans echt núl komma nul dat dit artikel gaat veranderen of verdwijnen. Die uitvoeringswet is grotendeels een formaliteit, en het is dus buitengewoon onverstandig om te denken dat er straks een gaatje komt om met bsn’s te gaan werken.

Arnoud

Deel dit artikel

  1. Ik begrijp wel dat een willekeurige webwinkel niet om een BSN mag vragen en ik zou dat ook niet willen. Maar ik heb bij verschillende verzekeraars gewerkt, en ik vind het wel onhandig dat die het ook niet mogen vragen (met uitzondering van zorgverzekeraars). Als je tegen een nog thuiswonende tweeling met dezelfde initialen aanloopt, is dat nog zo’n beetje het enige om ze niet onterecht als één persoon te zien. Als een bestelling in een webwinkel aan P. de Vries is geadresseerd, maakt het niet uit of het Piet of Peter is, als het pakket maar op het juiste adres aankomt. Maar voor een verzekering is het net iets belangrijker dat deze aan de juiste persoon gekoppeld is.

      • Je blijft zitten met tikfouten en dergelijke. Neem bijvoorbeeld Tim en Tom Coronel; de i en de o zitten zelfs naast elkaar op het toetsenbord. Het enige waarin ze verschillen, zijn hun tweede namen: Alfa resp. Romeo. Zelfs de meest redelijke ontdubbelingssoftware zou die twee nog als duplicaten aanmerken toen ze nog thuis woonden.

        • Er zijn genoeg gezinnen in Nederland waar gezinsleden een opeenvolgende BSN hebben (dat betekent dat alleen de laatste twee cijfers verschillen, want er zit een controlecijfer in het BSN). Ik denk dat daarmee je argument om het BSN te gebruiken in plaats van voornamen vanwege het risico op te grote gelijkenis niet erg sterk is.

          • Om twee BSN’s door elkaar te halen moet er meer gebeuren dan een cijfer verkeerd schrijven of twee cijfers verwisselen, dankzij de elfproef die toegepast wordt.

            Daarbij komt dat — om de Coronel-tweeling te blijven gebruiken — een verschrijving van Tim naar Tom niet op zal vallen, omdat beide plausibele voornamen zijn en een gebruiker die een naam invoert het niet zo snel zal opvallen dat er een voor de hand liggend alternatief is. Bij het invoeren van nummers weet men dat men goed moet opletten. Let maar eens op hoe vaak telefoonnummers herhaald worden ter bevestiging (bijna altijd), tegenover achternamen (alleen bij een lastige schrijfwijze).

            • De elfproef geeft een aardige bescherming bij volledige invoer van het nummer. Zo’n bescherming heb je niet bij Tim of Tom. Maar blind vertrouwen op de elfproef is link. Zodra een gebruiker het juiste BSN uit een keuze van twee of drie moet gaan aanklikken, of zodra software cijfers automatisch aanvult op basis van partiële invoer gaat het mis. Mensen zijn nogal slecht in het lezen van negen-cijferige getallen, duidelijk slechter dan in het lezen van namen en woorden.

              Om fouten te voorkomen moet je gebruik maken van redundantie en context, en nooit vertrouwen op één invoergegeven.

              Overigens, als iemand die een umlaut in zijn achternaam heeft, ben ik helemaal overtuigd van het praktisch nut van geboortedata, postcodes en andere numerieke zoekvelden. Ik kan er in Nederland nooit op vertrouwen dat mijn achternaam niet verminkt is door slechte software of door knullige types die niet weten hoe ze een umlaut uit hun toetsenbord kunnen krijgen.

            • Het is inderdaad een bekend verschijnsel. Ooit gehoord van een helpdesk: de foutmelding (tekst) komt meestal helemaal vermangeld over, het bijbehorende nummer komt gewoon ongeschonden door de telefoon. Nummers zijn heel makkelijk uniek te maken. En je bent ook af van het probleem dat mensen allerlei afwijkende roepnamen hebben: “Onze dochter Rosalieke Annette Pieternella, en we noemen haar Lieke…”

      • Nee, volledige namen zijn (voor zover ik weet) niet gegarandeerd uniek; anders zou je mensen moeten verbieden hun kind een volledige naam te geven die al bestaat, en immigranten verplichten hun naam te veranderen als die al bestaat.

        Ik vind deze use case wel interessant. Het is duidelijk dat, als je als verzekeraar verschillende mensen niet uit elkaar kan houden, fraude wel erg makkelijk wordt: Twee mensen die samen één verzekering nemen hoeven maar één keer premie te betalen, maar gezamelijk is hun risico op uitbetaling (gemiddeld) twee keer zo hoog. Als je je volledige naam moet opgeven bij de verzekeraar dan maakt dat het aantal mogelijkheden tot fraude al een stuk lager (wie kent er nou iemand anders met exact de zelfde naam?), maar toch.

        Aangezien ik altijd in termen van technische oplossingen denk(*): zou je niet een DigiD-gebaseerd systeem kunnen hebben, waarbij DigiD op verzoek van de verzekeringnemer een “cookie” afgeeft aan de verzekeraar? Bij het claimen van schade moet de verzekeringnemer dan opnieuw in DigiD inloggen, en DigiD kan dan aangeven of het cookie hoort bij de zelfde persoon die eerder was ingelogd. Privacy-voordeel: elke toepassing heeft zijn eigen “cookie”, dus verschillende toepassingen kunnen niet onderling gekoppeld worden. Je hoeft niet eens je naam op te geven. Privacy-nadeel: de overheid (DigiD) wordt betrokken bij alles wat je doet. Technische oplossing 2: een tweetraps-oplossing, waarbij je jouw eigen public keys bij DigiD kunt vastleggen en laten ondertekenen (**), waarna je privé van alles kunt doen met je private keys, zonder tussenkomst van DigiD. Alleen bij claimen kan je (evt. steekproefsgewijs) gevraagd worden om op DigiD in te loggen, om te demonstreren dat jij echt de verzekeringnemer bent; evt. in combinatie met het tonen van ID-kaart.

        (*) Als je een hamer bent, dan ziet alles er uit als spijkers.

        (**) Ondertekening betekent: deze public key is door exact één persoon bij ons vastgelegd.

        • Nee, volledige namen zijn (voor zover ik weet) niet gegarandeerd uniek; anders zou je mensen moeten verbieden hun kind een volledige naam te geven die al bestaat
          Alex en SQB hebben het natuurlijk over verwarring over dubbele namen op één adres. Anders wordt het wel erg lastig voor Mark Janssen en Jos de Vries. Zulke namen komen soms wel honderden keren voor.

        • Het is wel duidelijk dat jij naar technische oplossingen zoekt. Ik zie het anders. Ja, er is een 1 op een miljoen mogelijkheid dat de verzekeraar opgelicht wordt. Maar moeten alle 999999 anderen daarom door allerlei technische hoepels springen? Lijkt me ook onterecht.

          Dat risico moet de verzekeraar dan maar nemen. En die zal dat wel verrekenenen in de premies. Niet ideaal natuurlijk, maar we moeten misschien eens leren de last van verhoogde zekerheid/veiligheid ook mee rekenen wanneer we iets implementeren.

          • Beide modellen kunnen in principe naast elkaar bestaan: mensen kunnen dan kiezen tussen verzekeraars met lastige technische hoepels en verzekeraars met een iets hogere premie. Ik zie geen noodzaak om mijn voorstel verplicht op te leggen aan verzekeraars/consumenten; het zou een vorm van optionele dienstverlening van de overheid kunnen zijn.

            En inderdaad: soms geeft “de markt” de voorkeur aan eenvoudigere, efficiëntere oplossingen, zelfs als die fraude mogelijk maken. Denk bijvoorbeeld aan het zelf groente afwegen in de supermarkt.

            • Nee, beide modellen kunnen niet naast elkaar bestaan. De oplichters gaan dan namelijk altijd naar de ‘gemakkelijke’verzekering, dus de eerlijke klanten daar worden disproportioneel belast en zullen dan een exorbitante premie betalen, zodat ze, al zuchtend, de technische hoepels gaan accepteren.

              Dat is gewoon met een omweg de technische oplossing implementeren.

              • De oplichters gaan inderdaad altijd naar de ‘gemakkelijke’ verzekering (hoewel het aantal oplichters geen constante is, dus eigenlijk is het model verkeerd). Alleen: als de technische hoepels maar moeilijk genoeg zijn, dan blijven er ook genoeg eerlijke mensen bij de ‘gemakkelijke’ verzekering; dat zou ook de extra premie vanwege fraude beperkt kunnen houden doordat het verdeeld wordt over veel mensen.

                Elke individuele verzekerde heeft een eigen afweging “bij meer dan dit verschil in premie ga ik liever naar de ‘moeilijke’ verzekering”. Al deze individuele switch-punten vormen de vraag-curve; afhankelijk van deze vraag-curve vindt er wel of geen ‘run-away’ effect plaats. Bijvoorbeeld, als iedereen de grens bij de zelfde prijs legt, dan zou je een bi-stabiel systeem kunnen hebben, waarbij iedereen voor de zelfde oplossing kiest, en de andere oplossing niet van de grond kan komen.

        • Dat is de boel omdraaien. Het BSN is bedoelt om iedereen zijn eigen unieke nummer te geven (inderdaad tegen de dubbele namen etc.). DigiD is bedoeld om te bewijzen dat jij inderdaad jij bent. Logisch zou je dus zeggen dat de verzekering jouw BSN mag gebruiken, en dat je DigiD nodig hebt om een contact af te sluiten. (Je kunt DigiD ook vervangen door een openbare database van publieke sleutels bij de BSN: dan kun je met de private sleutel van je BSN ondertekenen, zonder dat de overheid mee kijkt).

    • Beetje off-topic, maar ook met die bestellingen gaat het niet altijd goed. Zo woon ik (helaas) nog even bij mijn ouders (ben 25) en hebben mijn vader en ik dezelfde achternaam. Dat was nooit een probleem, zeker niet omdat onze initialen anders zijn. Echter, de laatste maanden zijn er steeds meer winkels die iets aan ons sturen met als adressering alleen onze achternaam. Dan moet je dus elke keer weer even nadenken wie wat besteld had. Dus in zekere zin maakt een juiste adressering wel degelijk uit. Wij hebben dan overigens nog geluk dat ik enig kind ben, maar als er meerdere gezinsleden waren met dezelfde achternaam, dan kun je je vast wel voorstellen waarom het wél een groot probleem zou zijn…

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS