Mag mijn zorgverzekeraar op Facebook om mijn BSN vragen?

Een lezer vroeg me:

Nadat ik ontdekte dat ik mijn gegevens niet kon wijzigen bij het portaal van mijn verzekeraar, kreeg ik via Facebook contact met ze. Heel behulpzaam en vriendelijk, alleen wil men mijn BurgerServiceNummer ontvangen ter authenticatie. Mag de zorgverzekeraar überhaupt wel naar mijn BSN vragen via dit kanaal?

Vragen naar een BSN mag nooit – maar soms móet je het verkrijgen. Een zorgverzekeraar is verplicht het BSN gebruiken om persoonsverwisseling en andere fouten te voorkomen. De logica van een verzekeraar die bij een klantenserviceverzoek om een BSN vraagt, zie ik dus wel. (Ik neem aan dat er om meer wordt gevraagd dan alléén het BSN, maar dat terzijde.)

De factor Facebook maakt deze wel een tikje ingewikkeld. Op zich maakt het niet uit welk kanaal de verzekeraar gebruikt voor de communicatie met de klant, zolang dat maar veilig genoeg is voor de communicatie. Dus of je nu belt, appt of Facebookt zou in principe op hetzelfde neer moeten komen. Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.

Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

Arnoud

22 reacties

  1. Formeel gezien heeft de verzekeraar hier dus een probleem: zij moeten er voor zorgen dat Facebook niet met die communicatie aan de haal gaat. Er zou in theorie een verwerkersovereenkomst met Facebook moeten worden gesloten, of een andere garantie dat het communicatiekanaal veilig is. Ik denk dat dat maar zelden het geval is, en dan is het dus niet goed mogelijk om dit soort dingen via Facebook te doen.

    Dat geldt dan niet (alleen) voor het BSN specifiek, maar voor alle persoonsgegevens, toch? Dus ook de ter verificatie veelgebruikte (combinaties van) postcode/huisnummer, geboortedatum en bankrekeningnummer?

  2. of een andere garantie dat het communicatiekanaal veilig is.

    Ik neem aan dat deze communicatie via Messenger gaat en niet gewoon op de tijdlijn van de zorgverzekeraar. Is in dat geval het aanzetten van end-to-end encryption (wordt sinds eind 2016 ondersteund) niet voldoende ?

    1. Echter is er geen garanatie dat facebook geen “verplichte” achteerdeur in hun End-to-End systeem hebben gebouwd voor overheidsdoeleinden. Je weet dus niet of de end-to-end encryptie volledig is.

      Ook moet de verzekeraar dit garanderen (dus voorkomen dat mensen het sturen zonder encryptie) iets wat niet naar voren komt in de vraag dat zei dit hebben gedaan. (Iets dat ook moeilijk is voor hen om op een dergelijke manier te gebruiken).

      Al met al zijn er teveel vraagtekens en onduidelijk heden om facebook te kunenn gebruiken voor dit soort comunicatie.

      1. Je weet dus niet of de end-to-end encryptie volledig is.

        Als je de garantie zo ver wil laten gaan dan is vrijwel geen enkel communicatiekanaal nog bruikbaar.

        dus voorkomen dat mensen het sturen zonder encryptie
        Als ik de uitleg van Facebook goed begrijp dan is het voldoende als één van de deelnemende partijen de encryptie inschakelt om het hele (verdere) gesprek te encrypten. Door dit als verzekeraar zelf te doen kan je dus voorkomen dat de klant iets zonder encryptie stuurt.

        1. Eh, nee. Facebook messenger lite heeft geen encryptie, net zo min als messenger via de website van Facebook. Facebook is hoogstens leuk voor het uitwisselen van vakantie kiekjes, voor de rest deugd het nergens voor

  3. De laatste keer dat ik keek zat er bij bellen, faxen en post wel degelijk een derde partij tussen mij en de ontvanger die mogelijkerwijs inzicht kan krijgen in de communicatie. En in de eerste 2 gevallen wordt de metadata ook nog eens door die derde partij gelogd. En nog erger, als verzender weet ik alleen de eerste verwerker in de keten (mijn eigen telecom provider), ik weet niet wie de telecom provider van de klant is en ik kan onmogelijk met iedereen een verwerkersovereenkomst afsluiten.

    De enige manier om dus aan al deze privacywetten te voldoen is door iedereen te verplichten langs te komen bij de verzekeraar en daar een ID te laten zien. Het is een beetje lastig maar het beschermd de privacy wel maximaal.

    1. Met het briefgeheim en een wettelijk verbod op het afluisteren van telefoongesprekken kun je er als partijen vanuit gaan dat de inhoud van de communicatie vertrouwelijk blijft. Ik zou zeggen dat de wettelijke regelingen hier een aparte verwerkersovereenkomst overbodig maken.

      1. Facebook zegt ook dat ze niet in je berichten kijken. Maar dat houdt Facebook niet tegen, net zo min als dat dat criminelen niet tegenhoudt om je telefoon af te tappen en/of je briefpost te openen. Criminelen zijn erg gebaat bij iemands BSN en die negeren dus gewoon het briefgeheim e.d..

        1. Volgens mij vergelijk je nu Facebook met criminelen, wat niet echt terecht is. Volgens mij is Facebook’s voornaamste doel om veel advertentiegeld op te strijken door een zo groot mogelijk publiek te bereiken. Verder verkopen ze ook wat informatie over hun gebruikers, volgens mij, maar ze gaan echt niet BSN nummers ontfutselen door in te breken in gesprekken tussen verzekeraars en burgers. Dat zou ernstige gevolgen hebben voor ze en is daarom geen realistische vrees. Of het zo professioneel staat van de verzekeraar zo te werken is een ander verhaal.

        2. Ook als je als bedrijf een verwerkersovereenkomst met een goed bekendstaand bedrijf gesloten hebt kunnen criminelen inbreken, computers kraken en er met de gegevens vandoor gaan. Op een bepaald moment is een informatielek niet meer met redelijke maatregelen te voorkomen.

        3. Berichten van facebook messenger worden wel degelijk bekeken, mss door een bot of zo maar toch. Pas had ik het er met een kennis over dat als tie kwam logeren we naar de zeehonden konden gaan kijken op de maasvlakte. Bam! facebook komt gelijk met een planner om een datum te prikken ……..

  4. Interessante: ja, ik kan u de gevraagde gegevens wel via email verstrekken, maar om deze adequaat te beveiligen heb ik uw PGP publieke sleutel nodig. Kunt u mij die verstrekken? Hoeveel bedrijven zouden hierop in kunnen gaan? Ik denk dat je ze op de vingers van een hand kunt tellen.

    1. En hoe weet je als verzender dat je inderdaad de publieke sleutel van de verzekeraar hebt, en niet die van een MITM? Ik vind dat die publieke sleutel gewoon op de met https beveiligde website van de verzekeraar te vinden zou moeten zijn.

  5. Je bsn kan niet gebruikt worden voor authenticatie. het is een hulpmiddel om daarna beter voorbereid te zijn op het vaststellen van iemands identiteit. je bsn wordt door veel instanties gedeeld, ook met het publiek. het is een id in de tabel landgenoten. niet meer en niet geheim.

  6. Het gebruik van BSN’s voor allerlei toepassingen van derden lijkt mij ongewenst: laat het vooral een intern nummer van de overheid zijn. Een veel betere oplossing voor dit soort dingen is dat de overheid een soort van authenticatiedienst gaat aanbieden, die een (cryptografisch ondertekend) token uitdeelt aan organisaties die dat (vanwege wetgeving) nodig hebben, waarbij zij als een vertrouwde partij zowel naar het bedrijf attesteert dat de klant is wie zij beweert te zijn, en naar de klant dat het bedrijf dit wettelijke gezien mag vragen. Het token bevat verder geen informatie, en kan dan de plaats innemen van het BSN (en uiteindelijk ook NAW gegevens: die kun je als nodig dan via een API ophalen, en hoef je niet meer op te slaan) in de vele databases bij bedrijven en (semi-)overheidsinstellingen.

  7. “Alleen: bij bellen zit er niet echt een derde partij tussen die inzicht heeft in de communicatie, en een eigen commercieel belang heeft bij de inhoud, pardon je gebruikservaring wil verrijken.”

    Misschien geen commercieel belang, maar hoe weet je zo zeker dat je niet wordt afgeluisterd door criminelen? Aftappen is niet iets wat alleen de politie doet, ook criminelen doen dat en die zijn zeker wel gebaat bij iemands BSN.

    1. Criminelen zijn alleen gebaat bij iemands BSN omdat de autoriteiten niet begrijpen hoe je met een BSN omgaat. Het is geen middel dat gebruikt kan worden voor authenticatie. Het BSN wordt misbruikt ‘omdat het handig is’. Een en ander wordt pas veilig indien we met client-certificates werken, client is dan de persoon. Certificates zijn veilig en kunnen bij verlies van de bescherming eromheen gerevoked worden. Heeft iemand ervaring met het revoken van zijn of haar BSN?

  8. Eh, nee. Facebook messenger lite heeft geen encryptie, net zo min als messenger via de website van Facebook. Facebook is hoogstens leuk voor het uitwisselen van vakantie kiekjes, voor de rest deugd het nergens voor

  9. Waarom kan men gewoon niet om het bekende nummer van de verzekerde vragen? Immers is datgene wat men daadwerkelijk nodig heeft. Dat zorgverzekeraars intern het BSN gebruiken zou normaal moeten zijn. Echter de manier waarop zij het gebruiken, lijkt mij dat het alle perken te buiten gaat. Waarom dat het BSN überhaupt op de pas van de zorgverzekeraar staat is een raadsel. En groter raadsel is er waarom er vanuit de regering geen druk wordt uitgeoefend om dat te veranderen? We worden immers regelmatig in reclamecampagnes erop geattendeerd dat we er zorgvuldig mee moeten omgaan en geheim houden.

    Dus nee, een zorgverzekeraar mag er nooit zomaar om vragen en de ACM zou hier handhavend moeten optreden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.