Na de hack bij Clinical Diagnostics werden veel persoonlijke gegevens, waaronder burgerservicenummers, gestolen van mensen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. "Het is nu onderwerp van discussie of we BSN's zo moeten blijven gebruiken", zegt het ministerie van Volksgezondheid, Welzijn en Sport tegen NU.nl.
De verantwoordelijke hackersgroep claimde vrijdag de gestolen data te zullen verwijderen. Of dat daadwerkelijk gebeurt, is een tweede. Het incident heeft in elk geval het gebruik van burgerservicenummers (BSN's) onder het vergrootglas gelegd.
Veel mensen die vorige week een brief ontvingen uit naam van Bevolkingsonderzoek Nederland spreken online hun zorgen uit over het lekken van hun BSN. Ook op ons reactieplatform NUjij gebeurde dat.
Volgens de Rijksoverheid zijn erkende zorgverleners in Nederland verplicht om het burgerservicenummer van hun patiënten vast te leggen. Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen. Daarom zat het BSN ook in het lek bij Clinical Diagnostics. Met het nummer kunnen de juiste tests aan de juiste personen worden gekoppeld, zegt Bevolkingsonderzoek Nederland.
Een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) laat weten dat er altijd wordt gestreefd om "zo min mogelijk persoonsgegevens" te delen. Op het moment wordt onderzocht of dat op de juiste manier is gebeurd en of er niet te veel informatie is gedeeld.
VWS wil niet op de zaken vooruitlopen en wil niet zeggen of BSN's in de toekomst niet of op een andere manier moeten worden gedeeld. "Het is wel onderwerp van discussie. Het gebruik van een BSN is niet in beton gegoten: we bekijken naar aanleiding van de onderzoeksresultaten of er iets moet worden veranderd."
Een BSN is een unieke code die gekoppeld is aan één persoon. Volgens de wet is het een blijvend en onherroepelijk persoonsnummer. Een nieuw nummer aanvragen kan dus niet. Het nummer is al een anonimisering van een naam, maar criminelen kunnen met behulp van andere gelekte informatie wel een BSN aan een naam koppelen.
"Een burgerservicenummer is het kroonjuweel van je identiteit", zegt Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland. "Omdat je die maar één keer in je leven krijgt, kunnen criminelen er hun hele leven mee doen. Als iemand jou benadert met een BSN, is dat extreem geloofwaardig, omdat je hem bijna nooit hoeft te delen."
In de praktijk worden burgerservicenummers vaak niet losstaand van andere informatie verwerkt. "Vaak worden de nummers samen met een naam erbij opgeslagen", zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest.
Volgens de deskundigen zijn er wel andere manieren om veilig informatie te verwerken. "Je zou andere unieke nummers kunnen bedenken", zegt Keuper. In dit geval zou Bevolkingsonderzoek Nederland een BSN van een persoon omzetten in een nummer en dat nummer doorspelen naar het lab. Als het lab dan uitkomsten moet delen, doet het dat samen met dat nummer. Het Bevolkingsonderzoek Nederland kan dat dan weer koppelen aan personen.
Nu kan dat dus (nog) niet, vanwege de verplichting in de zorg om BSN's te delen. Een andere manier is om gegevens van personen op meerdere plekken op te slaan. "Dat is minder efficiënt, maar wel veiliger", zegt Maasland. "Dit werkt nu vaak zo dat gegevens binnenkomen op één systeem waar alles samenkomt."
Maasland pleit verder voor een Nederlands ministerie van Digitale Zaken. "Dat is niet om hip te doen of zo", zegt hij. "Digitalisering is een horizontaal probleem, alleen al bij dit lek zijn meerdere ministeries betrokken. En alle partijen verwijzen door naar elkaar. Er moet een plek komen die centraal de regie pakt en de verantwoordelijkheid neemt."
Source: Nu.nl economisch