Onderstaand is de reactie van de Piratenpartij op de consultatie Besluit gebruik burgerservicenummer door Slachtofferhulp Nederland. Dit besluit gaat erover dat Slachtofferhulp Nederland toestemming krijgt om het BSN nummer te gaan gebruiken. Door dit besluit is het mogelijk voor Slachtofferhulp om een online omgeving te creëren waarbij je moet inloggen met DigiD. De Piratenpartij maakt zich zorgen over de impact die dit zal hebben op de privacy van slachtoffers.
Geachte heer/mevrouw,
De Piratenpartij zet zich in voor de privacy van alle inwoners in Nederland. Wij maken ons zorgen over dit ontwerpbesluit en de consequenties die dit kan hebben.
Slachtofferhulp Nederland werkt met mensen die slachtoffer, nabestaande of getuige zijn van een misdrijf, verkeersongeluk of een calamiteit. Slachtofferhulp biedt hulp bij de emotionele verwerking en praktische en/of juridische gevolgen van een dergelijk trauma. (Rijksoverheid, n.d.). Slachtoffers willen in het algemeen niet de rest van hun leven als slachtoffer gezien worden. Daarom is het van het grootste belang dat hun privacy gerespecteerd wordt. Dit zien wij in het besluit niet genoeg terugkomen, en daarom willen wij u een aantal vragen voorleggen. Deze vragen gaan ook over het gebruik van DigiD omdat dat een direct gevolg is van dit ontwerpbesluit. Het is in het belang van de mensen die gebruik maken van de diensten van Slachtofferhulp dat onderstaande vragen ook worden beantwoord in het ontwerpbesluit.
– Wordt het ergens geregistreerd wanneer iemand inlogt via DigiD op de website van Slachtofferhulp?
– Blijft het mogelijk om anoniem gebruik te maken van de service van Slachtofferhulp?
– Gaat er bezuinigd worden op het persoonlijke contact dat Slachtofferhulp biedt omdat er een online omgeving komt?
Dit ontwerpbesluit zal er op den duur voor zorgen dat er meer online hulpverlening komt door Slachtofferhulp. De Piratenpartij zou graag in dit ontwerpbesluit zien dat dit niet ten koste gaat van het persoonlijk contact tussen slachtoffers en hulpverleners. Ook willen wij u vragen onderzoek te doen naar de toegankelijkheid van de hulpverlening. Het vragen om hulp is een grote stap voor veel mensen, de overheid dient deze stap zo klein mogelijk te maken. Het is daarom belangrijk om te onderzoeken of het moeten invullen van een BSN nummer een obstakel is voor mensen.
Het zou een grote inbreuk zijn op de privacy van slachtoffers wanneer wordt geregistreerd als je inlogt. Dit kan er onder andere voor zorgen dat mensen minder snel de hulp zullen inschakelen van Slachtofferhulp. Er moet duidelijker in het ontwerpbesluit komen te staan wat er precies gebeurt wanneer je inlogt met DigiD. Dit valt niet af te doen door te zeggen dat het besluit in overeenstemming is met de AVG.
Een onderdeel van deze AMVB dat bijzonder gevaarlijk is, is de wens om vanuit het slachtofferportaal door te kunnen klikken naar andere pagina’s van ketenpartners. Dit wordt ook wel Single Sign On genoemd. Ketenpartners zijn volgens het ontwerpbesluit; politie, OM, CJIB, het Schadefonds en andere overheidsorganen, zoals gemeenten. Single Sign On brengt een ernstige bedreiging voor de privacy van slachtoffers met zich mee. Wanneer een van de andere websites een lek heeft, kan namelijk ook direct de informatie van slachtofferhulp worden gestolen. Dus hoe meer websites zijn aangesloten bij de Single Sign On, hoe groter het risico is dat er een lek ontstaat (Nohe, 2018). Ook kan het zo zijn dat de website waarnaar je doorklikt de informatie van het slachtofferportaal opslaat (ibid.). Het is daarom noodzakelijk dat dit deel van het ontwerpbesluit wordt verwijderd.
Ook moet dit ontwerpbesluit er voor zorgen dat de privacy van slachtoffers in de toekomst veilig is. Zo wordt er de laatste tijd gesproken over een zogenoemde ‘digitale kluis’. Hier moet alle informatie over burgers samenkomen (BNR, 2018). De Piratenpartij maakt zich grote zorgen over deze digitale kluis. Een gecentraliseerde verzameling van persoonlijke gegevens kan tot zeer grote problemen leiden in het geval van een datalek of een manipulatie van het systeem. Het is echt van het grootste belang dat de informatie die in het nieuwe online platform komt te staan van Slachtofferhulp hier niet in wordt opgenomen. Er mag zelfs niet in worden opgenomen dat iemand gebruik maakt van DigiD om in te loggen op Slachtofferhulp. In het huidige ontwerpbesluit over het BSN nummer moet dit al worden meegenomen om te verzekeren dat in de toekomst deze gevoelige informatie ook nog veilig is.
Wanneer bovenstaande punten allemaal in orde zijn is de volgende stap om ervoor te zorgen dat de beveiliging van DigiD sterk is verbetert voordat dit ontwerpbesluit wordt aangenomen. DigiD kent namelijk verschillende zwaktepunten, zo wordt de wijziging van het wachtwoord nog steeds met de post bezorgd (AD, 2016).
Slachtofferhulp Nederland heeft voor het indienen van deze reactie op de consultatie aan de Piratenpartij laten weten dat anoniem gebruik maken van de service mogelijk blijft en dat er niet bezuinigd gaat worden op persoonlijk contact met slachtoffers. Om dit te garanderen is het echter noodzakelijk dat dit in deze wettekst ook wordt opgenomen. Ook zijn ze ingegaan op onze vragen over de privacy. Hiervan nemen wij mee dat Slachtofferhulp de privacy van slachtoffers erg belangrijk vindt, maar zelf ook niet de kennis heeft over de werking van DigiD. Ze hebben ons geen antwoord kunnen geven op de vraag wat Digid opslaat aan gegevens. Slachtofferhulp heeft goed vertrouwen in de werking van DigiD en de beveiliging van de achterliggende systemen. De Piratenpartij vind echter dat er op dat vlak nog veel verbetering mogelijk is.
De Piratenpartij hoopt u bij deze goed genoeg te hebben geïnformeerd over onze bezwaren betreffende het Besluit gebruik Burgerservicenummer door Slachtofferhulp Nederland.
Hoogachtend,
Namens de Piratenpartij Nederland,
Jasmijn Boeken
Bronnen
AD. (2016). DigiD zo lek als een mandje. Geraadpleegd op 7 augustus 2018, van https://www.ad.nl/binnenland/digid-zo-lek-als-een-mandje~acbb655f/.
BNR. (2018). ‘PERSOONLIJKE DATA IN ÉÉN DIGIKLUIS’. Geraadpleegd op 7 augustus 2018, van https://www.bnr.nl/nieuws/binnenland/10347903/alle-persoonlijke-data-in-een-digikluis.
Nohe, P. (2018). Is Single Sign-On Right for your Website?. Geraadpleegd op 29 augustus 2018, van https://www.thesslstore.com/blog/single-sign-on/.
Rijksoverheid (n.d.). Slachtofferhulp Nederland. Geraadpleegd op 29 augustus 2018, van https://www.rijksoverheid.nl/contact/contactgids/slachtofferhulp-nederland.