Verzamelen van BSN en kopieën van legitimatiebewijzen is niet zomaar toegestaan

Organisaties en bedrijven vragen soms om kopieën van legitimatiebewijzen of om het burgerservicenummer (BSN) zonder dat ze daar toe gerechtigd zijn. Het is voor organisaties, bedrijven maar ook voor burgers niet altijd duidelijk wanneer om een kopie van een legitimatiebewijs of het BSN gevraagd mag worden. Daarom heeft het College Bescherming Persoonsgegevens (CBP) richtsnoeren gepubliceerd voor het gebruik van een ‘kopietje paspoort’.

Voor het CBP geeft met de volgende passage duidelijk aan dat dit nummer niet zomaar verzameld mag worden.

Een andere categorie ‘verboden’ persoonsgegevens is die van de persoonsidentificerende nummers, in het bijzonder het burgerservicenummer (BSN). Het risico van een grootschalig gebruik van het BSN is dat daarmee eenvoudig bestandskoppelingen kunnen worden uitgevoerd, veelal buiten het zicht van de betreffende persoon. Dit nummer mag daarom niet worden verzameld en gebruikt zonder dat daarvoor een wettelijke verplichting of andere wettelijke basis bestaat. Behalve voor de loonadministratie zal deze voor bedrijven of organisaties over het algemeen niet bestaan.

Hierbij wordt ook verwezen naar een door de overheid opgestelde lijst van organisaties die het BSN mogen gebruiken.

 

Waarom ‘Security through obscurity’ niet werkt

Het principe van Kerckhoffs luidt als volgt: een systeem van versleuteling moet veilig zijn, zelfs  als alles behalve de sleutel van het systeem publiek bekend is. Dit principe wordt vooral gebruikt in de cryptografie, maar kan veel breder toegepast worden in de informatiebeveiliging.

Als beveiligingsmaatregelen en werking ervan bekend zijn dan kan iedereen deze onderzoeken om te bepalen of het inderdaad veilig is. Hoe meer mensen dit onderzoek uitvoeren en hoe meer verschillende onderzoeksmethoden gebruikt worden des te kleiner is de kans dat de beveiligingsmaatregel niet de juiste veiligheid biedt. Met name in het geval van software is het van belang om de broncode te kunnen bestuderen om te beoordelen of er zwakke plekken en fouten in zitten, maar ook om bewust aangebrachte “achterdeurtjes” te ontdekken.

Een ander beginsel uit de informatiebeveiliging is ‘Security through obscurity’. Hiermee wordt geprobeerd om de beveiligingsrisico’s te beperken door de beveiligingsmaatregelen zelf of de werking van de beveiligingsmaatregelen geheim te houden. Het idee hierachter is dat als niet bekend is hoe de beveiliging werkt deze moeilijk door buitenstaanders kan worden doorbroken.

In de praktijk lekken geheimen over beveiliging vroeg of laat toch uit. Het geheim wordt bewust of onbewust bekend gemaakt of door middel van onderzoek weet iemand het geheim te achterhalen. Beveiliging vanuit het principe ‘Security through obscurity’ houdt dan geen stand. Het geheim wat nodig is voor een geslaagde beveiliging is immers niet meer geheim.

‘Security through obscurity’ wordt door leveranciers van producten waar een beveiligingscomponent in zit soms nog wel gehanteerd. Dit principe wordt dan vooral gebruikt om bedrijfsbelangen te beschermen. Mocht blijken dat in het beveiligingsproduct toch een zwakke plek zit dan komt de verkoop van het product niet direct in gevaar. De koper weet immers niet dat hij een product koopt met een zwakke plek. Voor een veilige omgeving moet dan ook niet vertrouwd worden op ‘Security through obscurity’.