RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

| AE 12240 | Ondernemingsvrijheid | 21 reacties

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter:

Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens.

Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn nieuwe versie van iOS een melding toont wanneer een app het clipboard uitleest, maar het is volgens mij geen nieuwe feature op zich dat apps dit doen.

Ik heb zelf Android maar weet dat er de nodige apps zijn die dit doen omdat ze dan actie kunnen ondernemen: als ik een track&trace code op het clipboard plaats, biedt de PostNL app vervolgens aan om de zending na te zoeken. Kopieer ik een e-mailadres, dan stelt mijn mailapp voor om een bericht daarheen te schrijven. Andere apps herkennen URLs die van hun eigen dienst zijn, en openen dan bijvoorbeeld een productpagina of bestelformulier. Best handig, en slim om dat via het clipboard te doen want zo kun je vanuit elke applicatie een actie initiëren richting een andere.

Als je als app het clipboard gaat uitlezen, dan neem je inderdaad een risico dat daar een wachtwoord op staat – of zoals de vraagsteller suggereert, een burgerservicenummer. Of andere persoonsgegevens, denk aan een gekopieerd mailtje met een schuldbekentenis of verzin zelf wat dramatisch. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel, want wat moet PostNL met mijn bsn of die schuldbekentenis?

Daar staat tegenover dat die app volgens mij niet meer doet dan “if clipboard matches /3S.*/ then zoekZending else nop endif” zodat ik de term ‘verwerken van persoonsgegevens’ een tikje grootsprakerig vind. Helemaal omdat de app geen invloed heeft op wát er op het clipboard staat.

Maar ik kan niet ontkennen dat er enige ophef is over het fenomeen, want ook apps als TikTok blijken het clipboard uit te lezen:

In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages. Another 53 apps identified in March haven’t stopped either.

Met name was de ophef omdat na maart de ontwikkelaar van TikTok had gezegd dat ze hiermee zouden stoppen, terwijl dat dus niet het geval bleek te zijn. Oh én omdat de app niet eenmalig bij het opstarten keek wat er op het clipboard stond maar dit deed na ieder leesteken of spatie die je intypte. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.

Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn. Ik kan me geen app voorstellen die een bsn nodig heeft (oké, misschien de declaratie-app van een zorgverzekeraar) en dan is het in theorie handig dat je dat nummer kunt selecteren uit je Evernote, OneNote of Google Keep en dat de app dat getal herkent en in het juiste veld invult. Maar andere apps zouden dat gegeven alleen mogen bekijken om te constateren dat het niet voor hen is, en dan vrolijk verder draaien. Doen ze meer, al is het maar “uploaden voor kwaliteitsdoeleinden”, dan is dat wél een datalek.

Arnoud

Je kunt als zzp’er eindelijk je btw nummer (oftewel je bsn) van je site halen

| AE 11045 | Ondernemingsvrijheid, Regulering | 21 reacties

De Autoriteit Persoonsgegevens heeft de minister van Financiën een verbod opgelegd waardoor de Belastingdienst vanaf 1 januari 2020 niet langer het burgerservicenummer mag gebruiken in het btw-identificatienummer van zzp’ers. Dat meldde Tweakers onlangs. De eis was vele zelfstandig ondernemers een doorn in het oog, omdat het btw-nummer verplicht vermeld moet worden op facturen – maar ook op je webshop en andere verkoopkanalen. Daarmee komt je bsn wel érg bloot te liggen. Waarom dit jarenlang desondanks zo werd vastgehouden door de Belastingdienst, is me altijd een raadsel gebleken. Maar het zou nu eindelijk opgelost moeten zijn.

Het burgerservicenummer of bsn is door de overheid ingevoerd om administratie (met name fiscale zaken) rond burgers te kunnen regelen. Omdat dit nummer zo belangrijk is, zijn er strenge regels over gebruik van dat nummer gesteld, die kort samen te vatten zijn als “je mag er niets mee, tenzij een wet specifiek en uitdrukkelijk zegt van wel”. Dit was eigenlijk altijd al zo onder de Wbp, en is nu onder de AVG precies hetzelfde gehandhaafd.

Al diezelfde tijd heeft de Belastingdienst zzp’ers een btw nummer gegeven dat bestond uit hun bsn gevolgd door ‘B01’. Dat was denk ik handig voor ze, omdat dan alle zakelijke inkomsten die via btw-aanslagen binnen kwamen, gekoppeld kon worden aan hun privé aangifte die onder het bsn bekend staat. Of zoiets. Ik heb eigenlijk nooit een officiële reden kunnen vinden. En nee, “zo werkt de ICT bij ons” is natuurlijk geen reden.

Dit was een probleem omdat andere wetgeving zzp’ers verplicht tot publicatie van hun btw nummer (en dus hun bsn), onder meer op hun website. Het btw nummer van de ondernemer is in veel situaties verplicht bekend te maken informatie bij aanbod van producten of diensten op afstand. Kort gezegd, tenzij je site alleen een reclamefolder is met een contactformulier moest je btw nummer in het colofon staan. Bepaald niet handig dus.

Eindelijk heeft de AP hier een eind aan gemaakt: er is geen fatsoenlijke reden om deze koppeling te hanteren, dus de Belastingdienst moet zzp’ers nu gewoon een nieuw btw nummer geven waar hun bsn niet in zit. Om technische redenen (“zo werkt de ICT bij ons”, kuch kuch) kan dit pas in 2020 van kracht worden. Wie het kan uitleggen, ik hoor het graag.

Diverse mensen mailden me met de vraag of ze nu toch nog een jaar dat bsn online moeten houden. Ik aarzel daarover. Eigenlijk vind ik het te gek voor woorden dat deze verplichting nog blijft gelden terwijl zo evident vaststaat dat daarmee de wet wordt overtreden. Het zou werkelijk idioot zijn als een webwinkelier of online dienstverlener een boete krijgt omdat hij zijn btw nummer niet vermeldt omdat zijn bsn daarin zit, gezien deze uitspraak van de Autoriteit Persoonsgegevens.

Maar theoretisch gezien overtreed je de wet, want de wetgeving die het btw nummer eist, houdt geen rekening met deze situatie. Dus het kan in theorie leiden tot boetes. Ik ken uit het verleden echter geen boetebesluiten van bv. de ACM over enkel het niet vermelden van je btw nummer op je site. Ik zou dus zelf geneigd zijn te zeggen: doe het niet als je je er niet prettig bij voelt, en trek hard aan de bel als je van wie dan ook te horen krijgt dat je de wet overtreedt.

Arnoud

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

| AE 9513 | Privacy | 33 reacties

Een lezer vroeg me: In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer? Nee, dit klopt… Lees verder

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

| AE 8371 | Informatiemaatschappij | 23 reacties

Een lezer vroeg me: Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet? De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan…. Lees verder

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

| AE 5762 | Privacy, Security | 24 reacties

We hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist. Nee, natuurlijk is het… Lees verder

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

| AE 5647 | Privacy | 91 reacties

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh. Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in… Lees verder