SV: Nieuw burger­ser­vi­ce­nummer voor gedu­peerden datalek


Indiendatum: apr. 2016

Begin maart werd bekend dat van 25.000 Rotterdammers persoonsgegevens op straat kwamen te Iiggen door een datalek. Het datalek was het gevolg van een fout van de gemeente. Terecht maken de vele duizenden gedupeerden zich zorgen over identiteitsfraude.

Een effectieve manier om de privacy van deze gedupeerden te waarborgen is het aanvragen van een nieuw burgerservicenummer (BSN). Het BSN is persoonsgebonden. Een nieuw BSN zorgt ervoor dat de gedupeerden zich geen zorgen meer hoeven te maken over identiteitsfraude als gevolg van fraude met hun oude BSN.

In de actualiteitenraad van 10 maart jongstleden werd door een lid van de Raad gevraagd of het college bij het Rijk wil gaat lobbyen voor een nieuw BSN voor alle gedupeerden, mochten laatstgenoemden daar behoefte aan hebben. In antwoord daarop stelde het college bij monde van de wethouder verantwoordelijk voor de gemeentelijke organisatie:

“Uw BSN krijgt u voor het leven. Dat is afgesproken en dat is ook wettelijk zo vastgelegd. Ik wil daarover best in contact treden met de minister maar ik weet vrijwel zeker dat hij daar niet aan gaat meewerken. ”

Deze stelling blijkt niet te kloppen. Een van de gedupeerden heeft namelijk een brief ontvangen van het Directoraat-Generaal Belastingdienst (lees: het Rijk), als antwoord op een ingediende klacht over het datalek door toedoen van de gemeente Rotterdam. De brief is als bijlage bij deze schriftelijke vragen toegevoegd. In de brief stelt het Directoraat-Generaa| Belastingdienst:

“Zijn uw persoonsgegevens in het BRP [Basisregistratie personen] niet goed, onvolledig of onrechtmatig verwerkt (bijvoorbeeld wegens een datalek), dan hebt u het recht om een wijziging te vragen. Daarvoor kunt u terecht bij uw gemeente. De gemeente zal een beslissing nemen op uw verzoek. ”

Aan het college willen wij dan ook de volgende vragen stellen:

1. Erkent het college dat het aanvragen van een nieuw BSN mogelijk is? Indien nee, waarom niet?

2. Erkent het college dat de gemeente de bevoegdheid heeft een nieuw BSN aan te vragen voor haar inwoners? Indien nee, waarom niet?

3. Is het college bereid een nieuw BSN aan te vragen voor gedupeerden van het datalek die te kennen zullen geven hier behoefte aan te hebben? Indien nee, waarom niet? Indien ja, is het college bereid de gedupeerden van deze mogelijkheid per brief op de hoogte te stellen?

Naar het datalek is door de informatiebeveiligingsdienst van de gemeente in samenspraak met een gespecialiseerd bedrijf een onderzoek ingesteld. Hopelijk geeft dit onderzoek inzicht in hoe het allemaal heeft kunnen gebeuren en, belangrijker nog, hoe een dergelijk incident in de toekomst kan worden vermeden.

4. Wordt in het onderzoek ook naar oplossingen gezocht om identiteitsfraude als gevolg van het datalek? Indien nee, waarom niet?

Wat ons betreft hebben de gedupeerden een rechtstreeks belang bij het kennisnemen van de uitkomsten van het onderzoek.

5. Is het college bereid de uitkomsten van het onderzoek te delen met de gedupeerden, bijvoorbeeld middels het versturen van een brief met daarin puntsgewijs de toedracht van de fout van de gemeente, mogelijke oplossingen om identiteitsfraude te voorkomen en aanbevelingen om een dergelijk incident in de toekomst niet meer te laten voorkomen? Indien nee, waarom niet?


Wij zien uw beantwoording met belangstelling tegemoet.

Indiendatum: apr. 2016
Antwoorddatum: 24 mei 2016

Op 28 april 2016 stelden J.D. van der Lee-van der Haagen (PvdD) en Mw. drs. A.J.M. Laan (WD) ons schríftelijke vragen over nieuw burgerservicenummer voor gedupeerden datalek.

Inleidend wordt gesteld:

Begin maart werd bekend dat van 25.000 Rotterdammers persoonsgegevens op straat kwamen te liggen door een datalek. Het datalek was het gevolg van een fout van de gemeente. Terecht maken de vele duizenden gedupeerden zich zorgen over identiteitsfraude.

Een effectieve manier om de privacy van deze gedupeerden te waarborgen is het aanvragen van een nieuw burgerservicenummer (BSN). Het BSN is persoonsgebonden. Een nieuw BSN zorgt ervoor dat de gedupeerden zich geen zorgen meer hoeven te maken over identiteitsfraude als gevolg van fraude met hun oude BSN.

In de actualiteitenraad van 10 maart jongstleden werd door een lid van de Raad gevraagd of het college bij het Rijk wil gaan lobbyen voor een nieuw BSN voor alle gedupeerden, mocht laatstgenoemden daar behoefte aan hebben. In antwoord daarop stelde het college bij monde van de wethouder verantwoordelijk voor de gemeentelijke organisatie:

“Uw BSN krijgt u voor het leven. Dat is afgesproken en dat is ok wettelijk zo vastgelegd. Ik wil daarover best in contact treden met de minister maar ik vrijwel zeker dat hij daar niet aan gaat meewerken. “

Deze stelling blijkt niet te kloppen. Een van de gedupeerden heeft namelijk een brief ontvangen van het Directoraat-Generaal Belastingdienst (lees: het Rijk), als antwoord op een ingediende klacht over het datalek door toedoen van de gemeente Rotterdam. De brief is als bijlage bij deze schríftelijke vragen toegevoegd. In de briefstelt het Directoraat-Generaal Belastingdienst:

“Zijn uw persoonsgegevens in het BRP (Basisregistratie personen) niet goed, onvolledig of onrechtmatig verwerkt (bijvoorbeeld wegens een datalek), dan hebt u het recht om een wijziging aan te vragen. Daarvoor kunt u terecht bij uw gemeente. De gemeente zal een beslissing nemen op uw verzoek. ”

Hieronder volgen de vragen en onze beantwoording:

Vraag 1:
Erkent het college dat het aanvragen van een nieuw BSN mogelijk is? Indien nee, waarom niet?

Antwoord:
Ja.

Vraag 2:
Erkent het college dat de gemeente de bevoegdheid heeft een nieuw BSN aan te vragen voor haar inwoners? Indien nee, waarom niet?

Antwoord:
Ja.
Het college is als toekenner van het BSN bevoegd om het BSN ingeval van een foutieve verstrekking te wijzigen.

Vraag 3:
Is het college bereid een nieuw BSN aan te vragen voor gedupeerden van het datalek die te kennen zullen geven hier behoefte aan te hebben? Indien nee, waarom niet? Indien ja, is het college bereid de gedupeerden van deze mogelijkheid per brief op de hoogte te stellen?

Antwoord:
Nee.
Zoals wethouder Visser eerder heeft aangegeven wordt het burgerservicenummer (verder BSN) overeenkomstig de bepalingen van de Wet algemene bepalingen burgerservicenummer (Wabb) éénmalig en foutloos verstrekt. Op grond van de Wabb kan een BSN uitsluitend gewijzigd worden bij een foutieve toekenning van het BSN.
Hiervan is sprake wanneer aan één persoon meerdere nummers zijn toegekend, of in de situatie waarbij hetzelfde nummer aan meerdere personen is toegekend. Andere redenen tot wijziging BSN staan niet opgenomen in bovengenoemde wetgeving. Een gedupeerde Rotterdammer heeft op een door hem/haar gestelde vraag een antwoord ontvangen van het Directoraat-Generaal Belastingdienst. Wij hebben contact opgenomen met zowel het Directoraat-Generaal Belastingdienst als met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Hieruit is naar voren gekomen dat het antwoord dat aan de Rotterdammer is verstrekt niet geheel correct is en tot verwarring kan leiden. De mogelijkheid tot wijziging is namelijk niet van toepassing op het BSN maar heeft betrekking op wijziging van andere persoonsgegevens die in de basisregistratie personen zijn vastgelegd.

Vervolgens wordt gesteld:

Naar het datalek is door de informatiebeveiligingsdienst van de gemeente in samenspraak met een gespecialiseerd bedrijf een onderzoek ingesteld. Hopelijk geeft dit onderzoek inzicht hoe het allemaal geeft kunnen gebeuren en, hoe een dergelijk incident in de toekomst kan worden vermeden.

Vraag 4:
Wordt in het onderzoek ook naar oplossingen gezocht om identiteitsfraude als gevolg van het datalek te voorkomen? Indien nee, waarom niet?

Antwoord:
Nee.
De opdracht aan het gespecialiseerde IT-bedrijf was gericht op het achterhalen van de technische handelingen die ertoe hebben geleid dat de gegevens enige tijd benaderbaar zijn geweest. Dit was een technisch onderzoek dat zich op de betreffende bestanden heeft gericht. Dit onderzoek strekte zich niet uit tot het zoeken naar oplossingen om identiteitsfraude te voorkomen. De uitkomsten van het onderzoek (zie antwoord vraag 5) geven hiertoe ook geen aanleiding.

Vervolgens wordt gesteld:
Wat ons betreft hebben de gedupeerden een rechtstreeks belang bij het kennisnemen van de uitkomsten van het onderzoek.

Vraag 5:
Is het college bereid de uitkomsten van het onderzoek te delen met de gedupeerden, bijvoorbeeld middels het versturen van een brief met daarin puntsgewijs de toedracht van de fout van de gemeente, mogelijke oplossingen om identiteitsfraude te voorkomen en aanbevelingen om een dergelijk incident in de toekomst niet meer te laten voorkomen? indien nee, waarom niet?

Antwoord:
De voorlopige bevindingen van het onderzoek zijn inmiddels gedeeld met de burgers, middels brief d.d. 7 maart 2016, ons kenmerkl 865571. Hierin staat vermeld "Er is een gespecialiseerd bureau ingeschakeld om te onderzoeken of de gegevens daadwerkelijk geraadpleegd zijn. Uit de eerste resultaten van dit onderzoek blijkt dat we dit niet kunnen uitsluiten." Dit is nogmaals bevestigd in de brief aan de gemeenteraad d.d. 15 maart, kenmerk 1865572 16 bb1987 en daarbij is tevens aangegeven "het is volgens onze experts hoogst onwaarschijnlijk dat de gegevens benaderbaar zijn geweest zonder een zeer gerichte en specialistische zoekactie. Het zoeken naar een BSN nummer zou hierbij niet voldoende zijn geweest.

Wij hebben de burgers, die zich reeds hebben gemeld met vragen en/of klachten, gericht benaderd, toelichting gegeven en hun specifieke vragen beantwoord. Deze burgers zullen wij nogmaals gericht benaderen om na te gaan of zij naar tevredenheid zijn geïnformeerd. In de brief aan burgers van 7 maart jongstleden is ook aangegeven dat meer informatie over de brief en de ínhoud van de gegevens te vinden is op de
website www.rotterdam.nl/persoonsgeqevens. Deze pagina is nog altijd bereikbaar en wordt actueel gehouden.

Daarnaast zullen wij na de afronding en behandeling van het onderzoek de website actualiseren naar aanleiding van de uitkomsten van dit onderzoek. Hierbij zal specifiek aandacht worden besteed aan het aspect “mogelijke identiteitsfraude”. Bovendien hebben wij de politie op de hoogte gebracht van dit datalek en ze zijn geattendeerd om extra alert te zijn op aangiften met betrekking tot de identiteitsfraude. Er zijn afspraken gemaakt omtrent de verificatie van personen indien de betreffende personen naar dit datalek verwijzen bij hun aangifte.

Ook binnen het concern is voor dit onderwerp extra aandacht gevraagd. Door middel van een brief van de gemeentesecretaris is aan alle medewerkers het belang van informatiebeveiliging benadrukt en er is nadrukkelijk gewezen op de geldende protocollen en procedures op het gebied van informatiebeveiliging. Verschillende afdelingen hebben hier gevolg aan gegeven door het organiseren van bijeenkomsten en
workshops voor hun medewerkers.

Met de bovengenoemde genomen acties achten wij de burgers voor nu voldoende te hebben geïnformeerd.

Help mee aan een betere wereld

    Word lid Doneer