De BSO (kinderopvang) waar mijn kinderen 1x per week verblijven heeft per email verzocht de BSN's en de geboortedata van de ouders van de kinderen door te geven. Dit omdat in het kader van het controleren op het recht op kinderopvangtoeslag de belastingdienst deze gegevens nodig heeft.
Ik snap dat ze de gegevens willen, maar ik vind het persoonlijk nogal twijfelachtig dat ze dit per email verzoeken. Ze zeggen niet met zoveel woorden "geef het per email door"... maar de praktijk zal zijn dat >90% van de ouders klikt op 'reply' met daarin de gegevens.
Ik heb ze om uitleg gevraagd, en het antwoord terug was 'ja dat is voor ons het eenvoudigst, anders moeten we zoveel brieven meegeven/sturen'.
Concrete vraag: mág een organisatie eigenlijk wel dit soort privacy-gevoelige info per mail vragen?
Overigens is dat overal zo. Hoeveel formulieren over HTTP je niet ziet waar je privacygegevens in moet invullen, ook BSN, niet normaal.
de "gewone" gebruiker is echt niet bewust bezig met dit soort gegevens. Gaat uit van het goede van de mens en de veiligheid. Er wordt niet nagedacht over wat wel en wat niet veilig is.quote:Op dinsdag 16 mei 2017 14:17 schreef Gunner het volgende:
Grappig. Dit soort dingen vallen me vaker op. Moest dat ook voor een BSO doen, nog steeds eigenlijk, maar toen ik hun maildomain checkte zat op beveiliging was dat niet echt heel erg geavanceerd. Dat geeft me niet het laatste zetje om dit door te sturen per mail.
Overigens is dat overal zo. Hoeveel formulieren over HTTP je niet ziet waar je privacygegevens in moet invullen, ook BSN, niet normaal.
Of zij het BSN mogen vragen via e-mail weet ik eerlijk gezegd niet, als ze dat zouden laten beoordelen spelen er ongetwijfeld allerlei factoren mee (hoeveel medewerkers hebben bijvoorbeeld toegang tot die mailbox, op hoeveel devices loggen zij daar op in. Hoe meer mensen, hoe meer devices, hoe groter het mogelijke risico is tot een datalek - even heel kort door de bocht.
En zo wordt er bijvoorbeeld ook de leidraad genomen - zijn een combinatie van gegevens herleidbaar tot een bepaald persoon. Een BSN an sich zegt nog iets - die kun je @random genereren en zijn er miljoenen van, problematisch wordt het pas echt zodra je die achterhaalt in combinatie met andere persoonsgegevens die samen tot jou herleidbaar zijn.
Dat gezegd hebbende, hebben vele bedrijven dit gewoon nog niet op op orde, en dat is zoals edward_v zegt geen kwade opzet, zeker als je kijkt naar de kinderopvang bestaat de markt vooral uit eenpitters en een paar grote spelers.
Ik zou heel pragmatisch kijken waar jij het veiligste gevoel bij hebt. Vertrouw je het niet via de e-mail, dan bel je het door; vertrouw je dat niet, ga je naar het verblijf, en geef je het mondeling door aan de vestigingsmanager.
Uiteindelijk zitten er mogelijk alsnog schakels tussen voor het in ergens in de administratie wordt ingevoerd, maar dat houd je nu eenmaal niet tegen
toevoeging: overigens is het (bij ons iig) normaal om voor het intake-gesprek te vragen of ouders hun ID meenemen (en die van het kind) om zodoende de BSN's meteen te noteren. Kinderopvangorganisaties zijn het immers verplicht.
Ondanks dat ik dat snap is onwetendheid is geen excuusquote:Op dinsdag 16 mei 2017 14:27 schreef edward_v het volgende:
[..]
de "gewone" gebruiker is echt niet bewust bezig met dit soort gegevens. Gaat uit van het goede van de mens en de veiligheid. Er wordt niet nagedacht over wat wel en wat niet veilig is.
Bij de belastingdienst kom ik daar ook niet mee weg.
Datalekken en identiteitsfraude is een serieus iets in deze tijd.
Ik snap best dat ze die info willen hebben, maar ik moet zaken doen met een derde partij die de overkoepelende organisatie is. En die vraagt of ik per mail de BSN van mij en m'n partner ga doorgeven. Daar ben ik nog niet erg happig op zeker als ik zie dat de beveiliging van hun mailserver niet op orde is.quote:
toevoeging: overigens is het (bij ons iig) normaal om voor het intake-gesprek te vragen of ouders hun ID meenemen (en die van het kind) om zodoende de BSN's meteen te noteren. Kinderopvangorganisaties zijn het immers verplicht.
Het is in elk geval niet een optie om het helemaal niet te doen, tenzij je in de knoei wil komen je kinderopvangtoeslag
Zo'n waardetransport busje die je ophaalt en daarheen rijdt, waarna jij je BSN in het oor van de medewerker fluistert?
Zou me eerder zorgen maken over hoe ze het opslaan dan hoe ze het binnen krijgen. De kans dat iemand jouw email 'afsluistert' is denk ik heel veel meer kleiner dan iemand bij die toko die een keer die lijst ergens laat slingeren. En daar is dan gewoon de meldplicht en overheids controle voor.
Alleen overheidsinstanties mogen het gebruiken. Als er ergens een kopie van je id kaart gevraagd wordt moet je je bsn zelfs wegstrepen. De overheid heeft zelfs een app uitgebracht om je ID te kopieren en je bsn af te schermen.quote:
Wat een onzin. Zorgverzekeraars hebben ook je BSN nodig en zo zijn er wel meer organisaties.quote:
Alleen de overheid mag je BSN gebruiken en daar naar vragen. Je hoeft en mag het zelfs niet geven.
Alleen is de kinderopvang dus niet zo'n organisatie.quote:Op dinsdag 16 mei 2017 15:41 schreef Armani XL het volgende:
[..]
Wat een onzin. Zorgverzekeraars hebben ook je BSN nodig en zo zijn er wel meer organisaties.
Of laat je toevallig de kinderopvangtoeslag direct aan de kinderopvang uitkeren TS?
Dat mag dus alleen als er een wet is die bepaalt dat ze dat moeten gebruiken. Alleen de overheid mag er naar vragen, andere instanties zoals je huisarts alleen als er een wettelijke verplichting is.quote:
[..]
Wat een onzin. Zorgverzekeraars hebben ook je BSN nodig en zo zijn er wel meer organisaties.
De Rijksoverheid is dat niet met je eens:quote:
[..]
Alleen is de kinderopvang dus niet zo'n organisatie.
Of laat je toevallig de kinderopvangtoeslag direct aan de kinderopvang uitkeren TS?
https://www.rijksoverheid(...)-om-bsn-op-te-vragen
Helaas wel.quote:
[..]
Alleen is de kinderopvang dus niet zo'n organisatie.
GMTA met LuNaTic
En die is er dan ookquote:
[..]
Dat mag dus alleen als er een wet is die bepaalt dat ze dat moeten gebruiken. Alleen de overheid mag er naar vragen, andere instanties zoals je huisarts alleen als er een wettelijke verplichting is.
https://www.rijksoverheid(...)nummer-bsn-gebruiken
Daar staat toch precies wat ik zeg.quote:
[..]
En die is er dan ook
https://www.rijksoverheid(...)nummer-bsn-gebruiken
Effectief is het hetzelfde uitkomst, dus of het die discussie waard is... als een wettelijke verplichting er is voor sommige instanties, dan mogen/moeten ze er dus wel om vragen, net als de overheid. Potatoes, potatos.quote:
[..]
Daar staat toch precies wat ik zeg.
Onzin, kinderopvang geeft door onder welk BSN hoeveel uren opvang zijn afgenomen. Daarmee checkt de belastingdienst hoeveel toeslag je krijgt.quote:
[..]
Alleen is de kinderopvang dus niet zo'n organisatie.
Of laat je toevallig de kinderopvangtoeslag direct aan de kinderopvang uitkeren TS?
Het verhaal is dat de belastingdienst wil controleren of degenen die toeslag krijgen, ook daadwerkelijk kinderen op de opvang hebben...
Dat heb ik wel vaker...quote:
[..]
De Rijksoverheid is dat niet met je eens:
Niet echt geheim.quote:
In het buitenland vragen ze zo vaak een copy van je passpoort. De discussie van ja maar ik wil graag mij bsn nummer door strepen heb ik maar opgegeven. Waarom ze in godsnaam het bsn nummer niet meer op de voorkant zetten maar nog wel in het nummer onderaan mag joost weten.
Ik las hem anders, denk ik.quote:
[..]
Daar staat toch precies wat ik zeg.
Solly
quote:
quote:
Neem contact op met de CBP. Dit kan namelijk echt niet.
Rijksoverheidquote:Kinderopvangorganisaties bevoegd om BSN op te vragen
Kinderopvangorganisaties zijn wettelijk bevoegd en zelfs verplicht om ten behoeve van de kinderopvangtoeslag ouders te vragen naar hun burgerservicenummer (BSN) en dat van hun kind.
Zij vragen die gegevens uit zodat de Belastingdienst/Toeslagen de administratie van het aantal genoten opvanguren kan koppelen aan haar eigen gegevens. Soortgelijke bevoegdheden gelden overigens ook voor verhuurders in het kader van de huurtoeslag en voor zorgverzekeraars in het kader van de zorgtoeslag.
Eerder meldde Tros Radar dat particuliere organisaties alleen onder zeer strikte voorwaarden gebruik mogen maken van het BSN nummer. De genoemde organisaties mogen dat op grond van artikel 38 van de Algemene wet inkomensafhankelijke regelingen en artikel 1a en 1b van het Uitvoeringsbesluit Algemene wet inkomensafhankelijke regelingen.
Maar niet via e-mail.quote:
Op https://www.rijksoverheid(...)oonsgegevens-uit-brp
Als je bijvoorbeeld een vraag wilt stellen aan het Centraal Bureau Rijvaardigheidsbewijzen (volgens mij géén overheid maar een ZBO - zelfstandig bestuursorgaan), dan kun je alleen tegen betaling opbellen, of een contactformulier invullen.
Maar dan is BSN wél een verplicht veld: zonder je BSN mag je dus niet eens meer een simpele vraag stellen; dan werkt het formulier domweg niet!
Bron?quote:
Dit mag wel degelijk. Kinderdagverblijven, gastouderbureaus, verhuurders en zorgverzekeraars zijn ketenpartners van de belastingdienst. In de Uitvoeringsbesluit Algemene wet inkomensafhankelijke regelingen staat dit beschreven.quote:
Neem contact op met de CBP. Dit kan namelijk echt niet.
1 Aan de Belastingdienst/Toeslagen worden desgevraagd door de hierna aangewezen natuurlijke personen, rechtspersonen en instellingen de volgende gegevens verstrekt die van belang kunnen zijn voor de uitvoering van de wet:
b. voor zover het de toekenning van kinderopvangtoeslagen betreft:
1°. door het kindercentrum of het gastouderbureau: de gegevens of inlichtingen over de gegevens, bedoeld in artikel 11, eerste lid, onderdeel b, van de Regeling Wet kinderopvang en kwaliteitseisen peuterspeelzalen;
2°. door de gastouder: gegevens inzake het kinderopvangcontract, waaronder in elk geval begrepen de uurprijs voor de kinderopvang en het aantal kinderen en uren waarvoor kinderopvang wordt genoten;
Zelfs betaalbewijzen of achterstanden van betalingen mag door de belastingdienst bij de kinderopvanginstelling opgevraagd worden. En.....Daar moeten ze dus voor corresponderen met de BSN van de klant. Zonder de BSN van de klant mag de kinderopvanginstelling niet corresponderen met de belastingdienst. Juist om de persoonsgegevens te beschermen van de klanten van de opvanginstelling. Dit dus om te voorkomen dat de kinderopvang de verkeerde uren of betaalgegevens doorgeeft aan de belastingdienst ( als de belastingdienst daar om verzoekt) waardoor de klant weer in de problemen kunnen komen.
niet via e-mailquote:
Waarom zou dat niet mogen. De belastingdienst zelf mailt ook met de instellingen. Zelfs de kinderopvangcontracten en facturen ( waar vaak de BSN op staat) worden per mail verstuurd door de opvang naar de klanten.quote:
quote:
quote:
Omdat persoonsgegevens op een veilige manier moeten worden verwerkt. E-mail voldoet niet aan de veiligheids vereisten om dergelijke informatie, als BSN-nummers te versturen. E-mail is als een briefkaart die je in de brievenbus doet, een ieder op de route van postdeponeerpunt tot de brievenbus van de eindgebruiker -zoals bijvoorbeeld de postbode- kan volledig beschikken over de informatie op de briefkaart. Dat het veel gebeurd, wil nog niet zeggen dat het is toegestaan. Dat het veel gebeurd heeft voornamelijk te maken met eindgebruikers die onvoldoende kennis hebben van technologische aspecten en derhalve kiezen voor oplossingen die niet afdoende voldoen aan het veilig verwerken van informatie.quote:
[..]
Waarom zou dat niet mogen. De belastingdienst zelf mailt ook met de instellingen. Zelfs de kinderopvangcontracten en facturen ( waar vaak de BSN op staat) worden per mail verstuurd door de opvang naar de klanten.
Wet bescherming persoonsgegevensquote:
Op Dit geldt voor persoonsgegevens in het algemeen.quote:Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Voor bijzondere persoonsgegevens als BSN-nummers gelden ook de bepalingen in Hoofdstuk 2.
quote:
Voor bijzondere persoonsgegevens als BSN-nummers gelden ook de bepalingen in Hoofdstuk 2.
Artikel 6 van de Wet bescherming persoonsgegevens. Mag jij mij aangeven waar vermeld staat dat e-mail niet "behoorlijk en zorgvuldig" is.quote:Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
De wetgever heeft er voor gekozen dit abstract (zoals in artikel 13) te formuleren, opdat er een verwerking plaatsvind conform de huidige stand van de techniek. Derhalve volgt dit uit jurisprudentie. Ik heb even geen concrete uitspraken bij de hand, maar ben er van overtuigd dat de CBP je aan deze informatie kan voorzien.quote:
[..]
[..]
Artikel 6 van de Wet bescherming persoonsgegevens. Mag jij mij aangeven waar vermeld staat dat e-mail niet "behoorlijk en zorgvuldig" is.
Niet.quote:
Als je een eenmanszaak hebt is je BTW-nummer zelfs je BSN.
En nog leuker. Je bent verplicht dit nummer te vermelden op oa. je website, je facturen, je correspondentie...
Flauwekul. Bijzondere persoonsgegevens zijn heel andere gegevens (b.v. medische), je BSN is niet meer dan een administratief nummer waar niks 'bijzonder' aan is.quote:
Voor bijzondere persoonsgegevens als BSN-nummers gelden ook de bepalingen in Hoofdstuk 2.
Het BSN-nummer is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.quote:
[..]
Flauwekul. Bijzondere persoonsgegevens zijn heel andere gegevens (b.v. medische), je BSN is niet meer dan een administratief nummer waar niks 'bijzonder' aan is.
https://autoriteitpersoon(...)gerservicenummer-bsn
Maar niet zo bijzonder dat de verwerking met extra waarborgen moet zijn omkleed ter bescherming van de persoonlijke levenssfeer.quote:
[..]
Het BSN-nummer is een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is.
https://autoriteitpersoon(...)gerservicenummer-bsn
Dat is arbitair. Mij dunkt dat het aan de verantwoordelijke instanties is om de exacte grens te bepalen. Mijn advies aan de TS blijft dan ook om melding te doen en het BSN nummer over een veiliger kanaal aan te leveren.quote:
[..]
Maar niet zo bijzonder dat de verwerking met extra waarborgen moet zijn omkleed ter bescherming van de persoonlijke levenssfeer.
Het is niet arbitrair en het zou fraai zijn als de verantwoordelijke instanties zelf de exacte grens (de grens waarvan?) zouden mogen bepalen; dan kun je hoofdstuk 2 net zo goed uit de WBP schrappenquote:
[..]
Dat is arbitair. Mij dunkt dat het aan de verantwoordelijke instanties is om de exacte grens te bepalen. Mijn advies aan de TS blijft dan ook om melding te doen en het BSN nummer over een veiliger kanaal aan te leveren.
Nee, de bijzondere gegevens waarvan de verwerking met extra waarborgen moeten zijn omkleed ter bescherming van de persoonlijke levenssfeer, staan limitatief opgesomd in artikel 16.
Tuurlijk. Ze mogen ook vragen of je volgende keer dat die koter van jou komt dat je jullie creditcards inclusief pincodes in zijn/haar boterhammentrommeltje stoppen.quote:
Concrete vraag: mág een organisatie eigenlijk wel dit soort privacy-gevoelige info per mail vragen?
Ze mogen alles vragen!
Hoofdstuk 2 Artikel 24 gaat expliciet over identificatie nummers.quote:
[..]
Het is niet arbitrair en het zou fraai zijn als de verantwoordelijke instanties zelf de exacte grens (de grens waarvan?) zouden mogen bepalen; dan kun je hoofdstuk 2 net zo goed uit de WBP schrappen
Nee, de bijzondere gegevens waarvan de verwerking met extra waarborgen moeten zijn omkleed ter bescherming van de persoonlijke levenssfeer, staan limitatief opgesomd in artikel 16.
Ja en? Waar staat in dat artikel 24 dan iets over extra waarborgen of waar wordt dan verwezen naar artikel 24 in het kader van extra waarborgen?quote:
[..]
Hoofdstuk 2 Artikel 24 gaat expliciet over identificatie nummers.
Ja bizar is dat eigenlijk he...quote:
[..]
Niet.
Als je een eenmanszaak hebt is je BTW-nummer zelfs je BSN.
En nog leuker. Je bent verplicht dit nummer te vermelden op oa. je website, je facturen, je correspondentie...
Dezelfde overheid die je zegt je BSN privé te houden
quote:
[..]
Alleen overheidsinstanties mogen het gebruiken. Als er ergens een kopie van je id kaart gevraagd wordt moet je je bsn zelfs wegstrepen. De overheid heeft zelfs een app uitgebracht om je ID te kopieren en je bsn af te schermen.
quote:
[..]
Niet echt geheim.
In het buitenland vragen ze zo vaak een copy van je passpoort. De discussie van ja maar ik wil graag mij bsn nummer door strepen heb ik maar opgegeven. Waarom ze in godsnaam het bsn nummer niet meer op de voorkant zetten maar nog wel in het nummer onderaan mag joost weten.
Waarom dan zoveel drama?quote:
[..]
Niet.
Als je een eenmanszaak hebt is je BTW-nummer zelfs je BSN.
En nog leuker. Je bent verplicht dit nummer te vermelden op oa. je website, je facturen, je correspondentie...
Ze mogen best per mail vragen of je even langs wil komen om het nummer door te geven.quote:
En ze mogen volgens mij ook best vragen of je je nummer per mail wil doorgeven. Hier hoef je uiteraard niet mee akkoord te gaan.
Ze mogen je niet VERPLICHTEN je BSN per mail door te geven
In het kader van een zorgplicht (pun somewhat intended), zouden ze juist in de mail moeten aangeven om geen persoonlijke informatie in mails te frotten.quote:
Ze mogen je niet VERPLICHTEN je BSN per mail door te geven
Een email rechtstreeks naar de persoon is veiliger dan een kopietje laten maken door een willekeurige pszleidster waarna dat kopietje door twintig handen gaat voor het op de juiste plek komt.quote:
[..]
Dat is arbitair. Mij dunkt dat het aan de verantwoordelijke instanties is om de exacte grens te bepalen. Mijn advies aan de TS blijft dan ook om melding te doen en het BSN nummer over een veiliger kanaal aan te leveren.
is (deze vorm van) zorgplicht niet iets wat specifiek voor financiële geldt?quote:
[..]
In het kader van een zorgplicht (pun somewhat intended), zouden ze juist in de mail moeten aangeven om geen persoonlijke informatie in mails te frotten.
De overheid heeft hier vragen over gesteld.quote:
[..]
Ja bizar is dat eigenlijk he...
Dezelfde overheid die je zegt je BSN privé te houden
De belastingdienst zegt dan doodleuk dat er niet genoeg nummers anders zijn.
Uhm, wattuh? Er staan nu ook letters in, voeg die dan gewoon toe ofzo.
Je kan tegelijkertijd ook vragen of ze op de hoogte zijn van de GDPR die volgend jaar ingaat welke boetes op kan leggen van 20 miljoen euro bij overtredingen.
Als ze je dan onbegrijpelijk aan staan te staren, dan moet je je afvragen hoe ze dan met andere regels omgaan.