Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

| AE 9693 | Internetrecht | 22 reacties

Een lezer vroeg me:

Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal?

Vragen naar een BSN mag nooit – maar soms móet je het verkrijgen. Een zorgverzekeraar is verplicht het BSN gebruiken om persoonsverwisseling en andere fouten te voorkomen. De logica van een verzekeraar die bij een klantenserviceverzoek om een BSN vraagt, zie ik dus wel. (Ik neem aan dat er om meer wordt gevraagd dan alléén het BSN, maar dat terzijde.)

De factor Facebook maakt deze wel een tikje ingewikkeld. Op zich maakt het niet uit welk kanaal de verzekeraar gebruikt voor de communicatie met de klant, zolang dat maar veilig genoeg is voor de communicatie. Dus of je nu belt, appt of Facebookt zou in principe op hetzelfde neer moeten komen. Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.

Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

Arnoud

Deel dit artikel

  1. Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

    Dat geldt dan niet (alleen) voor het BSN specifiek, maar voor alle persoonsgegevens, toch? Dus ook de ter verificatie veelgebruikte (combinaties van) postcode/huisnummer, geboortedatum en bankrekeningnummer?

  2. De laatste keer dat ik keek zat er bij bellen, faxen en post wel degelijk een derde partij tussen mij en de ontvanger die mogelijkerwijs inzicht kan krijgen in de communicatie. En in de eerste 2 gevallen wordt de metadata ook nog eens door die derde partij gelogd. En nog erger, als verzender weet ik alleen de eerste verwerker in de keten (mijn eigen telecom provider), ik weet niet wie de telecom provider van de klant is en ik kan onmogelijk met iedereen een verwerkersovereenkomst afsluiten.

    De enige manier om dus aan al deze privacywetten te voldoen is door iedereen te verplichten langs te komen bij de verzekeraar en daar een ID te laten zien. Het is een beetje lastig maar het beschermd de privacy wel maximaal.

  3. Interessante: ja, ik kan u de gevraagde gegevens wel via email verstrekken, maar om deze adequaat te beveiligen heb ik uw PGP publieke sleutel nodig. Kunt u mij die verstrekken? Hoeveel bedrijven zouden hierop in kunnen gaan? Ik denk dat je ze op de vingers van een hand kunt tellen.

  4. Het gebruik van BSN’s voor allerlei toepassingen van derden lijkt mij ongewenst: laat het vooral een intern nummer van de overheid zijn. Een veel betere oplossing voor dit soort dingen is dat de overheid een soort van authenticatiedienst gaat aanbieden, die een (cryptografisch ondertekend) token uitdeelt aan organisaties die dat (vanwege wetgeving) nodig hebben, waarbij zij als een vertrouwde partij zowel naar het bedrijf attesteert dat de klant is wie zij beweert te zijn, en naar de klant dat het bedrijf dit wettelijke gezien mag vragen. Het token bevat verder geen informatie, en kan dan de plaats innemen van het BSN (en uiteindelijk ook NAW gegevens: die kun je als nodig dan via een API ophalen, en hoef je niet meer op te slaan) in de vele databases bij bedrijven en (semi-)overheidsinstellingen.

  5. “Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.”

    Misschien geen commercieel belang, maar hoe weet je zo zeker dat je niet wordt afgeluisterd door criminelen? Aftappen is niet iets wat alleen de politie doet, ook criminelen doen dat en die zijn zeker wel gebaat bij iemands BSN.

    • Criminelen zijn alleen gebaat bij iemands BSN omdat de autoriteiten niet begrijpen hoe je met een BSN omgaat. Het is geen middel dat gebruikt kan worden voor authenticatie. Het BSN wordt misbruikt ‘omdat het handig is’. Een en ander wordt pas veilig indien we met client-certificates werken, client is dan de persoon. Certificates zijn veilig en kunnen bij verlies van de bescherming eromheen gerevoked worden. Heeft iemand ervaring met het revoken van zijn of haar BSN?

  6. Waarom kan men gewoon niet om het bekende nummer van de verzekerde vragen? Immers is datgene wat men daadwerkelijk nodig heeft. Dat zorgverzekeraars intern het BSN gebruiken zou normaal moeten zijn. Echter de manier waarop zij het gebruiken, lijkt mij dat het alle perken te buiten gaat. Waarom dat het BSN überhaupt op de pas van de zorgverzekeraar staat is een raadsel. En groter raadsel is er waarom er vanuit de regering geen druk wordt uitgeoefend om dat te veranderen? We worden immers regelmatig in reclamecampagnes erop geattendeerd dat we er zorgvuldig mee moeten omgaan en geheim houden.

    Dus nee, een zorgverzekeraar mag er nooit zomaar om vragen en de ACM zou hier handhavend moeten optreden.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS