Ken je dat verhaal van die man met een minderwaardigheidscomplex, omdat zijn BSN eindigt op een 7? Of die vrouw die er bij havens en vliegvelden telkens door de marechaussee wordt uitgepikt omdat er 420 in haar BSN staat? Ik ook niet. Dat komt doordat het BSN een inhoudelijk leeg gegeven is. Toch beschouwen veel mensen het als heel gevoelig. Ik weet dat het momenteel beter is om voorzichtig met je BSN om te springen. Dat ligt in mijn optiek alleen niet aan het BSN zelf, maar aan het verkeerde gebruik ervan.
Het BSN is niet het probleem
BSN staat voor burgerservicenummer. Het doel van het nummer is koppelbaarheid van informatie. De overheid gebruikt jouw BSN als ze met jou in contact is, zodat ze makkelijk gegevens over jou kan ophalen indien nodig. En wanneer verschillende overheidsinstanties gegevens met elkaar uitwisselen over jou, is dat BSN ook belangrijk om ervoor te zorgen dat de data zeker weten bij elkaar horen. En je voorkomt persoonsverwisselingen.
Een uniek en onveranderlijk nummer per persoon is eigenlijk perfect voor koppelbaarheid en het voorkomen van persoonsverwisselingen. Het is dan wel handig als het nergens anders voor gebruikt wordt. Daarom is één van de uitgangspunten van het BSN ook dat het ‘informatieloos’ is. Je kunt er niets uit afleiden over een persoon. In die zin is het op zichzelf een nutteloos gegeven. Het wordt pas nuttig als je het gebruikt om andere gegevens mee op te halen.
Tot zover een logisch verhaal. Waarom wordt er dan zo moeilijk over gedaan?
Dat heeft te maken met het toverwoord ‘identiteitsfraude’.
Het BSN en identiteitsfraude
Het BSN wordt in Nederland veel in verband gebracht met identiteitsfraude. Als je BSN ‘lekt’ heb je een probleem, want voor je het weet gaan mensen bankrekeningen openen op jouw naam, telefoons bestellen of andere ongein uithalen. Ik wil dat risico niet bagatelliseren. Ik wil alleen duidelijk maken dat het BSN het probleem niet is. Het probleem is dat er kennelijk organisaties zijn die het mogelijk maken om zulke ongein uit te halen op basis van een BSN. Daar is het BSN namelijk niet voor bedoeld.
Naar analogie is het BSN eigenlijk een gebruikersnaam. Als je ‘inlogt’ bij de overheid (of bij je zorgaanbieder, bank of een andere partij die het BSN moet gebruiken), geeft het BSN antwoord op de vraag ‘over wie hebben we het eigenlijk?’
Je gebruikersnaam als wachtwoord
Waar het fout gaat in Nederland, is dat sommige organisaties je personalia vragen om te zien over wie het gaat en onder andere je BSN als ‘bewijs’ dat jij het echt bent. In zo’n geval gebruiken ze het BSN als wachtwoord. Het BSN wordt niet gebruikt voor de vraag ‘over wie hebben we het’, maar voor de vraag ‘ben jij wel echt wie je zegt dat je bent’?
Als wachtwoord is je BSN juist uitermate ongeschikt. Het is namelijk onveranderlijk! Oftewel: als het om wat voor reden dan ook lekt, kan vervolgens iedereen die eraan kan komen ermee bewijzen dat ze jou zijn. En jij kunt er niks meer aan doen.
In jargon gaat het om dit verschil: het BSN is er om je te identificeren, niet om je te authenticeren. Sommige organisaties gebruiken het alleen wel om je te authenticeren. Als een organisatie dat doet, is er vooral sprake van oneigenlijk gebruik van het BSN. Dát is het probleem. En daar moeten we wat aan doen.
Hoe authenticeer je dan mensen?
Ik ben privacyconsultant, dus deze vraag gaat in mijn werk vaak over het uitoefenen van AVG-rechten zoals inzage of verwijdering. Maar eigenlijk is het heel vergelijkbaar met andere services, zoals afspraken maken/verzetten, contracten sluiten/wijzigen/stopzetten of schades melden.
Zelf zie ik zo’n service (vanuit mijn beroepsdeformatie) als een gegevensverwerking in het kader van de AVG. Je doet iets met persoonsgegevens om een doel te bereiken. Dat betekent dat je aan de uitgangspunten van de AVG moet voldoen. Zoals het verwerken van adequate persoonsgegevens. Dus als het doel is om te bewijzen dat iemand is wie die zegt dat die is, dan moet je gegevens gebruiken die geschikt zijn om dat te bewijzen. Dat verschilt nogal per organisatie. Heb je een webwinkel en ken je mensen alleen via hun gebruikersnaam en wachtwoord? Dan heeft het geen zin om ze langs te laten komen met een geldig identiteitsbewijs. Je weet namelijk zelf niet eens of dat identiteitsbewijs bij het account hoort. Het is handiger om ze te laten inloggen met hun gebruikersnaam en wachtwoord. Voor de notaris is langskomen met een geldig identiteitsbewijs juist wel het uitgangspunt. In dat geval gaat het eigenlijk niet eens om een gegevensverwerking, omdat je fysiek moet controleren of de persoon hoort bij het fysieke identiteitsdocument.
Wanneer je elk type service afzonderlijk bekijkt als een AVG-proces, kun je ook voor elke service afzonderlijk een impactanalyse doen. Dat klinkt ingewikkeld, maar is gewoon boerenverstand. Hoe groter de impact van de service, hoe belangrijker authenticatie wordt en hoe hoger je eisen mogen zijn. Belt iemand om een niet urgente afspraak bij de huisarts te verzetten? Geen probleem om het dan met wat telefonische vraagjes af te handelen. Zelfs áls een kwaadwillende zonder toestemming de afspraak wil verzetten is er weinig aan de hand: iemand komt opdagen voor een niet urgente afspraak die niet doorgaat. Vervelend, maar geen reden om iedereen die een afspraak wil verzetten door 6 brandende hoepels te laten springen terwijl ze het volkslied zingen.
Wil iemand telefonisch het energiecontract opzeggen? Zou ik iets voorzichtiger mee zijn. Het komt voor dat mensen die verhuizen het verkeerde huisnummer intikken bij het opzeggen van hun contract, waardoor het opzegproces opeens voor de achterblijvende buren in gang wordt gezet.
Vraag je kortom af: hoe groot is de impact van deze service? Hoe problematisch is het als een ander onterecht door de authenticatie heen komt? Dan krijg je een idee van het niveau dat je moet handhaven.
En als afnemer van services moet je je beseffen: hoe makkelijker het voor jou is om te bewijzen dat jij jij bent, hoe makkelijker het voor een ander is om te bewijzen dat diegene jou is. Als het je dus ‘moeilijk wordt gemaakt’ om je te authenticeren in een proces dat voor jou heel belangrijk is, kun je daar dankbaar voor zijn. Het wordt niet alleen jou moeilijk gemaakt, maar ook anderen.
Laten we stoppen het BSN als wachtwoord te gebruiken
Ik doe geen empirische onderzoeken, maar heb wel het idee dat het BSN steeds minder (op zichzelf) als authenticatiemiddel wordt gebruikt. In ieder geval door partijen die veel met identiteitsfraude te maken hebben. Toen ik laatst voor een loketloze bank een rekening wilde openen, moest ik mijn paspoort scannen met NFC-technologie. Dat niet alleen: ik moest mijn hoofd heen en weer bewegen voor de camera, alsof ik zo’n vent uit de Gilette reclame was die zijn scheerbeurt voor de spiegel staat te beoordelen. Dat lijkt er al meer op.
Toch komt het wat mij betreft nog te vaak voor dat het BSN als authenticatiemiddel wordt gebruikt. Tegenwoordig wordt dan ‘in het kader van de privacy’ ook wel naar een deel ervan gevraagd, zoals de laatste drie cijfers. Ook vragen naar de laatste drie letters van een gebruikersnaam is geen goed wachtwoord. Daarom wil ik alle privacyprofessionals oproepen om na te gaan hoe jullie organisaties mensen authenticeren. Als dat met BSN gebeurt, adviseer ik je daarmee te stoppen. En zoals ik hierboven aangaf, zou ik het direct breder trekken en per service/proces naar een passend authenticatieniveau zoeken.
En de rest wil ik vriendelijk uitnodigen om te stoppen het BSN als gevoelig te bestempelen. Stel liever het verkeerde gebruik ervan constant aan de kaak. Zo lang we blijven doen alsof het BSN zelf de sleutel is tot je identiteit, bevestigen we het beeld bij anderen dat zij het daar ook voor kunnen gebruiken.
