Na het massale datalek bij telecombedrijf Odido krijgen we de vraag: kan ik mijn persoonsgegevens aanpassen? Het lijkt logisch om een nieuw BSN of paspoort aan te vragen, we zochten uit of dat kan én of het zinvol is.
Deze week is er veel onrust over het grootschalige datalek bij telecombedrijf Odido, waarbij gegevens van ruim 6 miljoen mensen zijn buitgemaakt. Vandaag is een deel van die gegevens online gezet, omdat Odido geen losgeld wilde betalen aan de hackers. Dat riep bij mensen in de chat de vraag op: kunnen gedupeerden geen nieuw BSN-nummer krijgen om oude data in één klap waardeloos te maken voor mensen met slechte bedoelingen?
Nut van BSN-nummer
Het vervangen van een burgerservicenummer (BSN) is lastig. Om te begrijpen waarom, moeten we eerst kijken naar het nut van het burgerservicenummer. Dat nummer is onmisbaar, zegt hoogleraar ICT en Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit.
"Veel mensen hebben dezelfde naam. Om te voorkomen dat bijvoorbeeld medische dossiers worden verwisseld, en zodat goed wordt geregistreerd hoeveel pensioen je hebt opgebouwd, is het belangrijk dat je mensen uit elkaar kunt houden. En dan is een burgerservicenummer handig", legt hij uit.
Gevoelig, maar niet zó
In veel landen is er vanwege de overlap in namen een systeem vergelijkbaar met het BSN, vertelt de hoogleraar. "Het is ook klantvriendelijk als mensen maar één nummer hoeven te gebruiken voor verschillende diensten", zegt hij. "En tegelijkertijd is het BSN-nummer ook weer niet zó gevoelig dat alles meteen kapot is als dat ene nummer lekt."
Sommige andere persoonlijke gegevens zijn per definitie gevoelig. "Het gaat dan bijvoorbeeld om gegevens over je seksuele geaardheid of voorkeur, over je medische geschiedenis, over je etniciteit", somt Zuiderveen Borgesius op.
Welke gegevens zijn gevoelig
"Dat zijn typisch dingen waar je op gediscrimineerd kunt worden", gaat hij verder. "Dit zijn persoonlijke gegevens die in Europese wetgeving zijn vastgelegd en waarover is gezegd: 'De AVG is al redelijk streng, maar voor deze gegevens moeten we extra strenge regels hebben.'"
Persoonsgegevens kunnen afhankelijk van de situatie en van de persoon meer of minder gevoelig zijn.hoogleraar ICT en Recht Frederik Zuiderveen Borgesius
De gevoeligheid van andere gegevens hangt vaak van de situatie af, vertelt Zuiderveen Borgesius. "Voor sommige mensen is bijvoorbeeld hun adres niet zo gevoelig. Van de koning kan iedereen de adressen van zijn paleizen vinden", geeft hij als voorbeeld. "Maar over een politicus kan het supergevoelige informatie zijn. Persoonsgegevens kunnen dus afhankelijk van de situatie en van de persoon meer of minder gevoelig zijn."
Een 'informatieloos' nummer
Een los BSN-nummer heeft als persoonlijk gegeven op zichzelf niet zo heel veel waarde. Criminelen hebben er volgens de hoogleraar niet meteen iets aan.
Hoewel zo'n nummer criminelen kan helpen om zich overtuigender voor te doen als officiële instantie, is het nummer alleen nooit genoeg om bijvoorbeeld een uitkering of hypotheek aan te vragen. Daarvoor moet je ook altijd andere gegevens aanleveren of bijvoorbeeld inloggen met een wachtwoord, tweestapsverificatie of een DigiD.
Nieuw aanvragen kan niet
Ook de Rijksdienst voor Identiteitsgegevens (RvIG) geeft aan dat een BSN een zogenoemd 'informatieloos' nummer is. Er is geen persoonlijke informatie, zoals iemands geboortedatum, in verwerkt. Een persoon is daarom niet te herkennen aan het BSN en mensen kunnen er geen directe identiteitsfraude mee plegen.
Het is daarom ook niet mogelijk om een nieuw BSN aanvragen. "Er zijn uitzonderingen, bijvoorbeeld waarin een BSN foutief of dubbelop is toegekend aan iemand, maar die zijn zó uitzonderlijk dat ze vrijwel niet voorkomen", vertelt Zuiderveen Borgesius.
Duizenden databases
"Je moet het ook niet willen", vervolgt hij. "Het is organisatorisch en technisch te complex. De Staat heeft honderden, duizenden databases met gegevens over jou gekoppeld aan je BSN-nummer."
Hij somt op: "Dus ook je opgebouwde pensioen, je diploma's, et cetera. En bijvoorbeeld ziekenhuizen kunnen je BSN-nummer gebruiken om medische dossiers van elkaar te onderscheiden."
Het is volgens hem bijna onmogelijk om al die systemen te synchroniseren met een nieuw nummer.
Bedrijven verplicht je gegevens te beschermen
Dat gegevens in databases staan, zou ook niet meteen een probleem hoeven te zijn. "Instanties en bedrijven zijn op basis van de AVG - de privacy-wetgeving - verplicht om jouw gegevens goed te beschermen", zegt Zuiderveen Borgesius.
"Dat zit 'm deels in het moeten treffen van organisatorische maatregelen, bijvoorbeeld dat je mensen goed opleidt en dat je logt wie er toegang heeft tot de databanken", licht hij toe. "Dat helpt vooral om de eigen werknemers af te schrikken zonder goede reden persoonsgegevens te bekijken, bijvoorbeeld ziekenhuismedewerkers die uit nieuwsgierigheid in dossiers van bekende Nederlanders willen kijken."
Technische beveiliging
"Loggen helpt niet veel tegen hackers zoals degenen achter het datalek bij Odido, helaas."
"Daarnaast eist de AVG technische beveiliging", gaat hij verder. "Organisaties moeten afschermen wie waar bij kan, zodat bijvoorbeeld een ziekenhuismedewerker in Amsterdam niet zomaar gegevens kan inzien van een patiënt in Maastricht. En organisaties moeten waar mogelijk gegevens versleutelen, dat noem je 'encryptie'."
Het grootste gevaar
"Het grootste gevaar van een datalek zoals nu met Odido is eigenlijk dat je slachtoffer kunt worden van 'phishing'", zegt Zuiderveen Borgesius. Criminelen gebruiken dan jouw gelekte gegevens om je via e-mail, sms, WhatsApp of telefoon te misleiden en je bijvoorbeeld op een link te laten klikken.
"Hoe meer gegevens criminelen over jou hebben, hoe overtuigender ze kunnen 'phishen'", verduidelijkt de hoogleraar. "Met bijvoorbeeld een BSN-nummer, nummer van je paspoort of je adres kan iemand geloofwaardig doen alsof hij belt namens een instantie zoals je bank."
Geen BSN bij Odido
Bij het lek van telecombedrijf Odido zijn weliswaar persoonsgegevens buitgemaakt, maar het bedrijf zegt geen BSN-nummers te hebben opgeslagen.
Dat mag ook niet. Het BSN is bedoeld voor contact tussen burgers en de overheid, en voor overheden onderling. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dat geldt bijvoorbeeld voor zorgverleners.
Een nieuw paspoort of ID-kaart?
Wel registreert Odido nummers van identiteitsbewijzen, zoals van je paspoort, id-kaart of rijbewijs. Dat doet het naar eigen zeggen om fraude te voorkomen, zo kunnen ze controleren dat jij echt degene bent die een abonnement afsluit.
Moet je daarom je paspoort, id-kaart of rijbewijs vervangen? Dat kan, maar staat niet in het advies van het Centraal Meldpunt Identiteitsfraude (CMI). "In overeenstemming met hun huidige advies hoeven deze documenten niet te worden vervangen, dus vergoeden we op dit moment de kosten voor het vervangen van deze documenten niet", schrijft het telecombedrijf op de informatiepagina over het incident.
'Moeten achterdochtig zijn'
Het echte gevaar van het datalek bij Odido zit ook volgens het CMI in gerichte phishing-pogingen. "Helaas is dat een beetje de conclusie van de tijd waarin we leven", zegt Zuiderveen Borgesius.
"Of je nou wel of niet in het Odido-lek zit, we moeten achterdochtig zijn met mails en telefonische berichten die we krijgen van banken, instanties, je werkgever", noemt hij op.
Verzoek om inzage of verwijderen gegevens
Wat je zelf kunt doen, behalve achterdochtig zijn, is checken welke gegevens instanties allemaal van jou hebben. "Dat is een van de mooie dingen uit de AVG, de privacywetgeving, die sinds 2018 geldt. Je mag met elk bedrijf of met elke staatsorganisatie waarvan je denkt dat ze gegevens van je hebben contact opnemen en een inzageverzoek doen."
"Ik doe dat zelf ook weleens, als ik op maat geadresseerde marketing krijg, bijvoorbeeld", vertelt Zuiderveen Borgesius. "Dan wil ik weten hoe een bedrijf aan mijn gegevens komt en welke gegevens ze precies over mij hebben."
Goede reden
"Je kunt dan ook een verzoek doen om de gegevens te laten verwijderen", vervolgt hij. "Meestal moet een organisatie daaraan voldoen."
Hij legt uit: "Er zijn wel uitzonderingen. De Belastingdienst of het BKR hoeft niet aan alle verwijderverzoeken te voldoen, omdat het maatschappelijk belang van bewaren groter wordt geacht. Maar bij bijvoorbeeld een e-commercewinkel kun je in principe alles over jou laten verwijderen."
Datalekken uitbannen, gaat niet
"Sinds de invoering van de AVG-wetgeving in 2018 is de beveiliging van persoonsgegevens echt beter geworden. De Autoriteit Persoonsgegevens mag bijvoorbeeld boetes geven aan instanties die persoonsgegevens niet genoeg beschermen. Door zoiets schrikken anderen ook wel op en realiseren ze zich dat je beveiliging serieus moet nemen."
"Maar de Autoriteit Persoonsgegevens kan niet bij alle instanties spontaan langsgaan om te controleren, dat gaat gewoon niet", zegt de hoogleraar. "We zullen dus nooit in een situatie terechtkomen met nul datalekken. Uitbannen gaat niet lukken. Maar wijzelf en instanties kunnen wel nog alerter zijn."