Uit  Eerste Kamer commissieverslag over invoering Burger Service Nummer 27-2-2007

 

4‘ Kan de regering aangeven waar zij dan haar optimisme op baseert dat na invoering van het BSN burgers eenvoudig fouten kunnen herstellen?’

5. Privacy en rechtsbescherming

Wil de regering een reactie geven op de bijzonder lage plaats van Nederland op de National Privacy Ranking 2006 van Privacy International (zie: www.privacyinternational.org) Nederland staat hier in de onderste regionen (nr 23) van de (toen nog) 25 EU-lidstaten?

 

In het voorlopig verslag is door verscheidene fracties gewezen op de noodzaak van rechtsbescherming voor de individuele burger die zich geconfronteerd ziet met een onjuist of zelfs crimineel gebruik van het BSN dat hem of haar door de hele samenleving heen traceert. Dat klemt temeer nu het BSN ook voor gebruik in en door de particuliere sector is bedoeld. Dat betekent dat ook criminele of terroristische organisaties zich ervan kunnen bedienen en dat ook ongetwijfeld zullen gaan doen, al was het alleen maar omdat zij zich niet gehinderd zullen voelen door beperkingen die een kaderwet als de onderhavige stelt. Het antwoord dat de regering op desbetreffende vragen geeft, stelt bepaald niet gerust: het is van een zeker abstractieniveau, laat vrijwel alles over aan de verantwoordelijke voor de gegevensverwerking die in de back offices plaatsvindt, maar steunt hem of haar alleen in de verstrekking van een in begrijpelijke taal geschreven leeswijzer inzake de verplichtingen die voortvloeien uit relevante wettelijke bepalingen. Op dit punt is het antwoord van de regering weinig bevredigend. Tegen wie overigens kan de gedupeerde burger een claim indienen ingeval hij wordt geconfronteerd met het hier geschetste mogelijke misbruik? En welke verantwoordelijkheid draagt de centrale overheid voor een afdoende beveiliging van het BSN-systeem?

6. Veiligheid

De leden van de vaste commissie vroegen in de eerste plaats of uit de antwoorden op de vragen
inzake de veiligheid en beveiliging van BSN-gegevens moet worden afgeleid dat geen protocollen en standaards zijn ontwikkeld met betrekking tot de verschillende typen BSN-gegevens.
Kan de regering meedelen wat de noodzaak is van de keuze voor één nummer in één enkele nummerreeks? Waarom is niet gekozen voor het toekennen van meerdere nummers, afhankelijk van de verschillende rollen en identiteiten van een persoon, zoals ondernemer, werknemer, vrijwilliger, lid van meerdere maatschappelijke organisaties als verenigingen, vakbond, politieke partij etc.? Ook deze opzet met meerdere nummers is immers net zoals de boven als eerste genoemde technisch zeer wel te realiseren? Resulteert de keuze voor één enkel nummer niet in een zodanig lage en vooral onveilige service, dat de overheid in flagrante strijd komt met het eigen streven naar dienstbaarheid en betrouwbaarheid naar de burger toe? Is het niet zo dat door alle eieren in één mandje te deponeren, het mogelijk wordt met één toegang alle informatie te ontsluiten, met andere woorden één moeder sleutel in plaats van verschillende sleutels voor verschillende ingangen?

In hoeverre is gebruik gemaakt van beveiligingen zoals checksums, waardoor gevalideerd kan worden of een geldig nummer is ingevoerd in plaats van een type fout? Is bij het maken van raadpleeg interfaces door ambtenaren er voor gezorgd dat tijdens het navigeren en zoeken geen informatie beschikbaar komt over anderen dan de gezochte informatie? Zijn voorzieningen getroffen om fuzzy zoekopdrachten te voorkomen als dekmantel voor het opsporen (skimming) van specifieke gegevens?

 

Wordt de wisselwerking tussen PIP, DigiD en BSN niet onbeheersbaar? Wat is de mening van de regering over de stelling van experts als de Nijmeegse prof. Bart Jacobs, dat de beschikbare technologie nog niet voldoende geavanceerd is om de veiligheid van het BSN te waarborgen? Hoe wordt oneigenlijke toegang voorkomen, en daarmee de risico’s van diefstal van identiteit, met alle gevolgen van dien, ook op de toegang tot de gegevens van de overheid zelf? Creditcard maatschappijen vragen standaard een aantal gegevens die straks allemaal zijn op te vragen via de PIP.

Wat is de reactie van de regering op signalen als van de internet uitvinder Vint Cerf, dat een kwart van alle PC’s van buitenaf bestuurd wordt, zodat het afvangen van inloggegevens of de inhoud van communicatie vrijwel zeker is, waardoor het uitbreiden van BSN mogelijkheden tot ernstig misbruik en kwetsbaarheid voor identiteitsdiefstal kan leiden?

Deelt de regering de opvatting dat het gebruik van BSN door de overheid als werkgever uigesloten dient te zijn, omdat de gegevens zijn vergaard vanuit de rol van de overheid als maatschappelijk regisseur?