Rijksregister nr opslaan in een Db

Gebruikersavatar
letoir
Member
Member
Berichten: 60
Lid geworden op: 25 Dec 2010
Locatie: Antwerpen
Uitgedeelde bedankjes: 4 keer

Rijksregister nr opslaan in een Db

Berichtdoor letoir » 15 Dec 2016, 12:00

Ik ben een website aan het bouwen in asp.Net om mensen te registreren om dan te kunnen werken aan een project.
Die data gaan we moeten doorsturen naar een interim bureau, zodat zij de contracten en alles inorde brengen.

Nu kregen we te horen, dat we in belgie het rijksregisternr niet Mogen opslaan in een Db, deze db staat op Azure Sql.

Hoe kan ik deze rijksregister nummer legaal opslaan zonder problemen met de wetgeving?
Ik neem aan dat interim bureau's ook met rijksregister nummer werken, en er zijn bepaalde websites die de met belgeid hier ook aan kunnen.
Hebben jullie hier enige weet van ?
Afbeelding

nickz
Elite Poster
Elite Poster
Berichten: 1457
Lid geworden op: 09 Dec 2011
Locatie: Gent
Bedankt: 213 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 163 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor nickz » 15 Dec 2016, 12:10

Dat mag inderdaad niet. Het is niet omdat die bedrijven het rijksregisternummer kunnen uitlezen van de eID dat ze dat ook (mogen) opslaan. Je kan mensen eenduidig identificeren aan de hand van voornaam, familienaam en geboortedatum. Als jij meent dat het rijksregisternummer toch noodzakelijk is, dan zou ik aanraden om contact op te nemen met de privacycommissie.

ub4b
Elite Poster
Elite Poster
Berichten: 3032
Lid geworden op: 12 Jan 2006
Bedankt: 289 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 49 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor ub4b » 15 Dec 2016, 12:46

Rijksregisternr opslaan mag niet, zoek maar naar de media markt discussie met hun freedelity privacy violation.

https://userbase.be/forum/viewtopic.php?f=1&t=46180

Natuurlijk is een rijksregisternr database wise een unieke ID en een makkelijk kort op te slaan veldje, maar het mag dus niet.

Gebruikersavatar
bollewolle
Premium Member
Premium Member
Berichten: 646
Lid geworden op: 16 Nov 2007
Twitter: bollewolle
Locatie: Gent
Bedankt: 41 keer
Uitgedeelde bedankjes: 94 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor bollewolle » 15 Dec 2016, 12:47

Klopt, mag inderdaad niet zomaar bijgehouden worden. De meeste bedrijven hebben echter wel toelating deze bij te houden voor hun personeel aangezien dit verplicht is om mee te sturen bij DMFA aangiftes (en Dimona aangifte ook als ik me goed herinner). Maar dat is dus enorm afgelijnd waarvoor die mag gebruikt worden. Voor alle andere doeleinden moet dit specifiek aangevraagd worden.
Voor tijdelijke werkkrachten via een interim bureau ben ik echter niet zeker of je het RR mag bijhouden. Die werken officieel voor het interim kantoor dus zij mogen/moeten die wel bijhouden maar ik denk niet dat de afnemer ervan deze mag bijhouden. Best eens navragen aan de bevoegde instanties.

blaatpraat
Premium Member
Premium Member
Berichten: 516
Lid geworden op: 10 Jan 2014
Bedankt: 39 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 17 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor blaatpraat » 15 Dec 2016, 13:12

nickz schreef:Je kan mensen eenduidig identificeren aan de hand van voornaam, familienaam en geboortedatum.

Spreek ik tegen.
Ik ken iemand die mijn familienaam draagt, dezelfde voornaam als mijn vader en dezelfde geboortedatum.
Nee, we zijn geen gekende familie van elkaar (alhoewel dat iedereen minstens tot in de 7e graad aan elkaar verwant is, of iets dergelijks).

Die 3 gegevens zijn niet voldoende om uniek te zijn.
Zelfs als je "PC" en "stad/gemeente" zou toevoegen, zou het in dit geval nog niet uniek zijn.


Ja, dit is maar 1 kleine kans, maar je hebt de kans, en hij komt voor in de praktijk.

Gebruikersavatar
letoir
Member
Member
Berichten: 60
Lid geworden op: 25 Dec 2010
Locatie: Antwerpen
Uitgedeelde bedankjes: 4 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor letoir » 15 Dec 2016, 13:30

blaatpraat schreef:Die 3 gegevens zijn niet voldoende om uniek te zijn.
Zelfs als je "PC" en "stad/gemeente" zou toevoegen, zou het in dit geval nog niet uniek zijn.
Ja, dit is maar 1 kleine kans, maar je hebt de kans, en hij komt voor in de praktijk.


Het probleem is niet dat we unieke users willen toevoegen, daar is onze oplossing de email.
Met email gaan we altijd unieke users hebben, maar wij hebben het RR nodig om het door te sturen zodat een interim bureau contracten kan maken etc.



We willen volledig online werken met ons platform, en een user naar een interim bureau laten komen zou ook geen goede oplossing zijn.
Hebben jullie anders enige work arrounds ?
Afbeelding

philippe_d
Moderator
Moderator
Berichten: 13014
Lid geworden op: 28 Apr 2008
Locatie: Waregem
Bedankt: 2026 keer
Recent bedankt: 30 keer
Uitgedeelde bedankjes: 567 keer
Contact:

Re: Rijksregister nr opslaan in een Db

Berichtdoor philippe_d » 15 Dec 2016, 13:47

letoir schreef:We willen volledig online werken met ons platform, en een user naar een interim bureau laten komen zou ook geen goede oplossing zijn.
Hebben jullie anders enige work arrounds ?

Ik begrijp jouw bedoeling wel.
Maar is het nodig om een Db aan te leggen met alle EID numemrs van iedereen in de Database?
Of misschien kan het opslaan beperkt worden voor alléén die users waarvan je de gegevens moet overmaken aan het interim kantoor?
In dit wel omgelijnd kader, zal je wellicht wel de toelating krijgen om de RR nummers bij te houden.

Eens het interim contract voorbij, heb je dat nummer niet meer nodig, dat kan dus terug gewist worden?

PS.
Een interim contract is een deal tussen een interim kantoor en een werknemer, contractueel gezien ben je als werkgever/opdrachtgever geen betrokken partij ...
Begrijp dus niet waarom het "geen goede oplossing zou zijn" om de user naar het interim kantoor te sturen, want wettelijk gezien moet hij daar zijn interim contract ondertekenen, zijn maaltijdcheques afhalen, enz ...
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Start (60/4 mbps down/up).
Modem/Router: Fritz!Box 7490 int, FW 113.06.80 , VDSL2 Annex A, sync 100/20 (vectoring), native IPv6 (Proximus).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.

liber!
Premium Member
Premium Member
Berichten: 554
Lid geworden op: 09 Apr 2006
Twitter: nathan_gs
Bedankt: 42 keer
Uitgedeelde bedankjes: 73 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor liber! » 15 Dec 2016, 15:16

Je kan hiervoor een aanvraag indien om het te mogen opslaan (of verduidelijking):

https://www.privacycommission.be/nl/mac ... ocedure-rr

Ps. Als je het in Azure SQL opslaat (na toelating) kan je best gebruik maken van:

Gebruikersavatar
letoir
Member
Member
Berichten: 60
Lid geworden op: 25 Dec 2010
Locatie: Antwerpen
Uitgedeelde bedankjes: 4 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor letoir » 15 Dec 2016, 15:32

philippe_d schreef:Maar is het nodig om een Db aan te leggen met alle EID numemrs van iedereen in de Database?
Of misschien kan het opslaan beperkt worden voor alléén die users waarvan je de gegevens moet overmaken aan het interim kantoor?
In dit wel omgelijnd kader, zal je wellicht wel de toelating krijgen om de RR nummers bij te houden.


Nee het is idd, niet de bedoeling om het RR nr van iedere user op te slaan, we zouden twee soorten accounts toevoegen, WG en Studenten.
En voor de WG hebben we dat niet nodig, daar werken we met VAT nrs, hopenlijk mag je die wel opslaan :S :D
Maar voor studenten zou dat enkel moeten indien ze voor een project willen gaan werken.

philippe_d schreef:Eens het interim contract voorbij, heb je dat nummer niet meer nodig, dat kan dus terug gewist worden?

Wil je zeggen dat zoiets wel mag zonder toestemming ofdat we gemakkelijker goedkeuring krijgen als we zo gaan werken.

philippe_d schreef:Een interim contract is een deal tussen een interim kantoor en een werknemer, contractueel gezien ben je als werkgever/opdrachtgever geen betrokken partij ...
Begrijp dus niet waarom het "geen goede oplossing zou zijn" om de user naar het interim kantoor te sturen, want wettelijk gezien moet hij daar zijn interim contract ondertekenen, zijn maaltijdcheques afhalen, enz ...


We zijn eigenlijk een startup gestart om voornamelijk met studenten te werken die STEM opleidingen volgen, die studenten willen we jobs (studentenjobs) aanbieden in hun gekozen studie traject ipv dat ze studentenjobs zouden gaan doen in iets wat niets met hun studies te maken heeft.
Maaltijdcheques komen vaak niet in aanmerking voor studentenjobs, in het geval van contracten onderteken, we zouden zoveel mogelijk online willen doen of via de post. Een aantal banken werken ook op die manier bv keytrade bank.

Enkele ideeen of suggesties zijn welkom.
Afbeelding

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5891
Lid geworden op: 28 Jan 2012
Bedankt: 442 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 82 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor ITnetadmin » 15 Dec 2016, 15:33

Ik vraag me af of de wet een loophole heeft die toelaat om enkel de 3 cijfertjes bij te houden?
De rest van het nummer is nl de geboortedatum en een controlegetal.

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3599
Lid geworden op: 17 Nov 2009
Bedankt: 1279 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 224 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor raf1 » 15 Dec 2016, 18:13

letoir schreef:Enkele ideeen of suggesties zijn welkom.

Volgens mij is er geen enkel probleem als je samenwerkt met een interimbureau dat ook digitaal werkt met een eID-webapplicatie en eventueel een API.
Je moet dan wel eerst eens heel grondig onderzoeken hoe digitaal de Belgische interimbureaus momenteel al werken.
Daarna is het kwestie van het interimbureau te kiezen waarop jouw webapplicatie het best kan inpikken, ideaal zou zijn als er een full-blown API beschikbaar is waarmee jouw applicatie kan communiceren met het interimbureau. Dan is het kwestie van de privacygevoelige informatie rechtstreeks via de API van het interimbureau te versturen en hoef jij niets illegaal op te slaan.

Steek je licht eens op bij http://www.federgon.be , de federatie van HR-dienstverleners, zij hebben een goed zicht op hoe digitaal hun leden zijn, ze beheren trouwens een digitaal platform http://www.interimsign.be/ dat door verschillende interim-bureaus wordt gebruikt.

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4244
Lid geworden op: 16 Feb 2011
Bedankt: 240 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 283 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor MClaeys » 15 Dec 2016, 20:23

Waarom opslaan? Laat hen het contract tekenen via e-id, daar is (was?) een api voor. Digitaal gesigneerd, niet nodig de rijksregisternummer op te slaan. Tenminste als het puur voor het contract moet dienen.
Xbox Live: MClaeys

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 2 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor CCatalyst » 15 Dec 2016, 20:48

Zelfs de pure verwerking (laat staan het opslaan) van een rijksregisternummer vereist een toelating van de privacycommissie. "Verwerking" = alle mogelijke handelingen die je met data kunt verrichten.

En ik kan u zeggen, voor andere gegevens doen ze al moeilijk, voor het gebruik van het rijksregisternummer doen ze extra moeilijk. Dus als het kan, zoek een andere methode. Een van de voorwaarden is altijd dat je de gegevens niet langer mag opslaan dan strikt noodzakelijk.

Anderzijds is het ook zo dat als je die gegevens toch verwerkt zonder toelating, dan ga je *WAARSCHIJNLIJK* nooit iets tegenkomen zolang er niets gebeurt, en dat is wat veel firma's doen (aka: doen alsof ze niet weten dat je toelating nodig hebt). Als uw db gehackt wordt en de gegevens liggen op straat ga je het dan wel enorm vlaggen hebben natuurlijk. Gelukkig dat Belgie te klein is om echt een interessant doelwit te zijn van hackers (in de VS is het een ander verhaal).

ITnetadmin schreef:Ik vraag me af of de wet een loophole heeft die toelaat om enkel de 3 cijfertjes bij te houden?


Nee.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26853
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 302 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor r2504 » 15 Dec 2016, 21:10

Maak gewoon een hash van het nummer en sla dat op... al weet ik niet of zelfs dat mag.

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 2 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor CCatalyst » 15 Dec 2016, 21:21

Nee, want dat vereist verwerkingen van het echte nummer.

dovo
Starter Plus
Starter Plus
Berichten: 42
Lid geworden op: 28 Nov 2015
Bedankt: 2 keer
Uitgedeelde bedankjes: 5 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor dovo » 15 Dec 2016, 23:48

r2504 schreef:Maak gewoon een hash van het nummer en sla dat op... al weet ik niet of zelfs dat mag.

Een hash is zo te kraken, zeker als je weet dat het begin van een rijksregisternummer een geboortedatum is, welke in geval van datalek hoogstwaarschijnlijk ook in de db zal zijn te vinden. Verder heb je dan nog 5 cijfers. Met een paar seconden kan ja dan iedere rijksregister nummer achterhalen.

Er staat op een Belgische eid-kaart ook een nummer van de eid-kaart. Die mag je wel verwerken mits toestemming van de persoon van wie die kaart is, als het systeem van derden dit niet accepteert, dan neem je best contact met hun op dat hun systeem fout ontworpen is. Er zijn maar enkele gevallen waar een rijksregister effectief nodig is.

Als een interim of wat ook vereist dat ik een rijksregister nr opgeef, en zij zijn te lui om zelfs nog maar hun site met https te beveiligen vul ik steeds een foutief nummer in, vaak willen die platformen gewoon een nummer zonder het zelfs nodig te hebben. (bv. 99.99.99-999.99) Als zij het dan achteraf nodig hebben zal ik het wel aanpassen. Het feit dat sommige interims niet eens https gebruiken maakt duidelijk dat ze niet begrijpen wat privacy is.

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 2 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor CCatalyst » 16 Dec 2016, 00:16

dovo schreef:Er staat op een Belgische eid-kaart ook een nummer van de eid-kaart. Die mag je wel verwerken mits toestemming van de persoon van wie die kaart is


Ja, maar dat nummer verandert elke 10 jaar (of eerder) en kan dus niet gebruikt worden als volledig unieke identifier.

dovo schreef:Als een interim of wat ook vereist dat ik een rijksregister nr opgeef, en zij zijn te lui om zelfs nog maar hun site met https te beveiligen vul ik steeds een foutief nummer in, vaak willen die platformen gewoon een nummer zonder het zelfs nodig te hebben. (bv. 99.99.99-999.99) Als zij het dan achteraf nodig hebben zal ik het wel aanpassen. Het feit dat sommige interims niet eens https gebruiken maakt duidelijk dat ze niet begrijpen wat privacy is.


Terechte bemerking. Ik vul ook altijd een fictief RRN in, nog nooit problemen gehad.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26853
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 302 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor r2504 » 16 Dec 2016, 11:04

dovo schreef:Een hash is zo te kraken, zeker als je weet dat het begin van een rijksregisternummer een geboortedatum is, welke in geval van datalek hoogstwaarschijnlijk ook in de db zal zijn te vinden. Verder heb je dan nog 5 cijfers. Met een paar seconden kan ja dan iedere rijksregister nummer achterhalen.


Dat maak jij je hashes slecht aan... voeg gewoon extra data (bv. een vast stukje tekst, z'n naam, ..) toe aan het RRN voor je de hash maakt en dat probleem is opgelost.

CCatalyst schreef:Nee, want dat vereist verwerkingen van het echte nummer.


Dat is vermoedelijk inderdaad een reden waarom het niet mag.

Ik denk echter dat het het enige gegeven is dat statisch is... al de andere dingen zoals het kaartnummer, (een hash van) foto, ... veranderen uiteindelijk wel vrees ik.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5891
Lid geworden op: 28 Jan 2012
Bedankt: 442 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 82 keer

Re: Rijksregister nr opslaan in een Db

Berichtdoor ITnetadmin » 16 Dec 2016, 15:03

Met het verbieden van de "verwerking" van het nummer (wat ik an sich een goeie zaak vind), hebben ze je vrij goed ingeboxed vrees ik.


Terug naar “Web-en applicatie-ontwikkeling”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast