Bij de GGD is op grote schaal data gestolen. Mede mogelijk gemaakt doordat er amper sprake was van beveiliging of monitoring. Van vele Nederlanders is het BSN op straat gekomen. De verontwaardiging gaat echter voorbij aan het echte probleem. 1/10
Het BSN is door de overheid de laatste decennia veel te belangrijk gemaakt. Het echte schandaal is dat je je eigen identiteit moet beschermen door een nummer geheim te houden dat je tegelijkertijd volgens de wet te pas en te onpas moet afgeven. 2/10
En dat terwijl het helemaal niet nodig is. (Ik geef zelf inleiding cryptografie op de middelbare school, dus ik matig mij aan hier wat verstand van te hebben.) Je kunt het BSN eenvoudig vervangen door wel duizenden burgerservicenummers. 3/10
Het is kinderspel om een systeem te maken, waarbij je inlogt bij DigiD, aldaar invoert bij wie jij je wenst te legitimeren, waarna er een eenmalig en uniek nummer wordt afgegeven waarmee jij je kunt identificeren. 4/10
Als dat eenmalige nummer ooit op straat ligt, is er bijna niets aan de hand. Je hebt dat nummer aangemaakt om jezelf te identificeren bij (bijvoorbeeld) de GGD. Als het op straat belandt en een crimineel gebruikt het bij een bank, ziet deze dat het nummer voor de GGD was. 5/10
De bank zal het nummer dus weigeren. Het is alsof er automatisch door elk BSN heen geschreven wordt voor wie het bedoeld wordt (in plaats dat we zelf steeds met een stift door de kopietjes ID heel schrijven). Cryptografisch kinderspel, maar heel effectief. 6/10
Je kunt dat unieke eenmalige nummer zelfs koppelen aan een tijdspanne. De ontvanger van het nummer weet dan niet alleen dat het voor hem bedoeld is, maar ook dat het bijvoorbeeld ongeldig is na 31 maart. Ook dat zou de kans op misbruik enorm verkleinen. 7/10
Er zijn ook cryptografische systemen die dit en nog heel veel meer op een goede en veilige manier geïmplementeerd hebben, maar helaas door de overheid nauwelijks serieus worden genomen. Bijvoorbeeld @IRMA_privacy. 8/10
Het echte schandaal is dus niet dat ons BSN gelekt is, maar dat de overheid al decennia lang totaal niet geïnvesteerd heeft in het deugdelijk beschermen van onze identiteit. En daarom komen we niet veel verder dan krampachtig onze ID-kopietjes beschermen met een stift. 9/10
Mijn leerlingen in 5VWO kan ik in één les uitleggen hoe je een systeem van unieke, eenmalige, specifieke, tijdsgebonden burgerservicenummers implementeert. @MinBZK is van harte welkom ik de klas. (Wel online, want we mogen tijdelijk geen goed onderwijs meer verzorgen.) 10/10
Misschien iets voor @mauritsmartijn en @tokmetzis om hier eens in te duiken. Ik heb gemerkt dat mijn draadje war losgemaakt heeft vandaag.
@KeesVee @attjekuiken @erikziengs @harryvdmolen @ockjetellegen @arjanelfassed @StienekevdGraaf Op grond van Europese regelgeving is het verplicht data te minimaliseren. En het is technisch ook mogelijk, zoals uit dit artikel blijkt. Dus: gebruik van pseudo-ID ipv BSN moet zelfs. 
Ter infomatie een link naar het volledige artikel: cs.ru.nl/B.Jacobs/PAPER…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
