Month: April 2011

[Dutch] DigiD, mijn.overheid.nl en theoriereservering.cbr.nl: paar kleine privacy-devils in details?

Als geïnteresseerde buitenstaander van DigiD(-gerelateerde) dingen op het web viel mij het volgende op. Ik weet niet of dit bekend en geaccepteerd restrisico is, of dat dit nog onbekend was.

  1. Ben ik geadopteerd? Log in op mijn.overheid.nl, kijk bij GBA > Meer persoonlijke gegevens > Familie > Meer ouder gegevens en kijk of “Ingangsdatum familiebetrekking” (GBA-kolom 2.62.10/3.62.10) gelijk is aan je geboortedatum. Zo nee? Misschien moet je eens met je ouders gaan praten. Zo ja: misschien ben je niet geadopteerd (of, evenwel mogelijk, een systeemfout of variaties in gegevensverwerking tussen gemeenten). De beschrijving van die kolom luidt:

    “Datum waarop uw officiële band (dit heet ook wel de familierechtelijke betrekking) met uw ouder is ontstaan. Meestal is de begindatum uw geboortedatum. Hebben uw ouders een geregistreerd partnerschap? Dan staat hier de datum waarop een van uw ouders u erkend heeft. Bent u geadopteerd? Dan staat hier de adoptiedatum.”

    FACT CHECK NEEDED. Zelf ben ik niet geadopteerd en bij mij komt dit veld overeen met mijn geboortedatum. Kan iemand die weet dat ie geadopteerd is dit ajb verifiëren? (Stuur me e-mail op koot[APENSTAARTJE]cyberwar[PUNT]nl –> ik vermeld geen namen op dit blog!)

  2. Ik blijk geadopteerd en nu ben ik boos op mijn ouders. Probeer identiteitsfraude! Log in op mijn.overheid.nl en ziedaar het BSN – en geboortedatum geboorteplaats, volledige naam maar die wist je zo ook wel – van je ouders, kinderen, partner en/of ex-partner.
  3. Ik weet alleen iemands BSN en geboortedatum. Hoe achterhaal ik meer? Via https://theoriereservering.cbr.nl/! Vul BSN en geboortedatum in, typ de CAPTCHA over en je krijg volledige persoonsnaam en geboorteplaats cadeau! Onvoldoende voorwaarde voor DigiD-fraude maar niettemin nuttig voor dat doel. Let wel, op zondagochtend even niet frauderen – op 10 april 10:30 stond deze mededeling op die website:

    “Het systeem is momenteel gesloten. De openingstijden zijn van maandag t/m zaterdag van 6:00 tot 23:30 uur en op zondag van 13:00 tot 23:30 uur.”

  4. Hoe weet ik of een BSN en DigiD-gebruikersnaam combinatie klopt? Via https://applicaties.digid.nl/wachtwoordherstel/instellen! Vul de te testen BSN en gebruikersnaam in, vul onzin in bij Herstelcode en klik Verder. Als de combinatie NIET klopt krijg je een andere melding dan wanneer ie WEL klopt. Handig toch?
  5. Tijdens registratie op mijn.overheid.nl wordt gevraagd naar mijn e-mailadres en GSM-nummer (optioneel), en worden die geverifieerd. Zijn mijn GSM-nummer en e-mailadres nu gekoppeld aan mijn BSN? Ja, goed gezien! Hoewel ongetwijfeld bedoeld voor goede dienstverlening, is het moeilijk ontkennen dat er een behoefte zal zijn die kwalitatief goede -want door de burger zelf geverifieerde- informatie (BSN + GSM-nummer + e-mailadres) te gebruiken bij zaak- en  fenomeenonderzoek zoals NFI’s Kecida-afdeling (KEnnisCentrum voor Intelligente DataAnalyse) dat uitvoert met methoden uit sociaal-netwerk analyse (.pdf) en data profiling (.pdf). Dat is niet per definitie slecht of goed, maar transparantie en democratische controle zijn dan geen luxe.

FWIW, zie een handmatige inventarisatie (.txt) van GBA-kolommen die ik onder mijn DigiD-account zie op mijn.overheid.nl (ik heb geen kinderen of officiële (ex-)partner). Verwijst ook naar GBA Logisch Ontwerp 3.7 (3.0MB .pdf) die de definities van alle GBA-kolommen bevat. Deze vraag (met een antwoord dat de vraag niet beantwoordt) is te vinden in de FAQ op mijn.overheid.nl :

“Waarom kan ik ook gegevens van mijn ouders/kinderen/(ex-)partner inzien?

In de Gemeentelijke Basisadministratie persoonsgegevens (GBA) wordt uw administratieve levensloop geregistreerd. Geboorte, verhuizing, huwelijk, vertrek naar het buitenland, overlijden: de GBA bevat alle algemene persoonsgegevens en wijzigingen daarop, van de wieg tot het graf. Hierbij horen ook de gegevens over met wie u getrouwd bent of hoe uw kinderen heten. Deze gegevens worden bijvoorbeeld gebruikt door gemeenten, pensioenfondsen of uitkeringsinstanties om hun beslissingen goed af te stemmen op uw situatie.”

Een verwijzing naar dit bericht is gepost in de Bits of Freedom en Platform voor Informatiebeveiliging groepen op LinkedIn.