Rijksregister nr opslaan in een Db

Alles over programmeren en development binnen de IT-wereld
Plaats reactie
Gebruikersavatar
letoir
Member
Member
Berichten: 67
Lid geworden op: 25 dec 2010, 22:11
Uitgedeelde bedankjes: 4 keer

Ik ben een website aan het bouwen in asp.Net om mensen te registreren om dan te kunnen werken aan een project.
Die data gaan we moeten doorsturen naar een interim bureau, zodat zij de contracten en alles inorde brengen.

Nu kregen we te horen, dat we in belgie het rijksregisternr niet Mogen opslaan in een Db, deze db staat op Azure Sql.

Hoe kan ik deze rijksregister nummer legaal opslaan zonder problemen met de wetgeving?
Ik neem aan dat interim bureau's ook met rijksregister nummer werken, en er zijn bepaalde websites die de met belgeid hier ook aan kunnen.
Hebben jullie hier enige weet van ?
nickz
Elite Poster
Elite Poster
Berichten: 1533
Lid geworden op: 09 dec 2011, 17:55
Locatie: Gent
Uitgedeelde bedankjes: 178 keer
Bedankt: 220 keer

Dat mag inderdaad niet. Het is niet omdat die bedrijven het rijksregisternummer kunnen uitlezen van de eID dat ze dat ook (mogen) opslaan. Je kan mensen eenduidig identificeren aan de hand van voornaam, familienaam en geboortedatum. Als jij meent dat het rijksregisternummer toch noodzakelijk is, dan zou ik aanraden om contact op te nemen met de privacycommissie.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Rijksregisternr opslaan mag niet, zoek maar naar de media markt discussie met hun freedelity privacy violation.

https://userbase.be/forum/viewtopic.php?f=1&t=46180

Natuurlijk is een rijksregisternr database wise een unieke ID en een makkelijk kort op te slaan veldje, maar het mag dus niet.
Gebruikersavatar
bollewolle
Elite Poster
Elite Poster
Berichten: 956
Lid geworden op: 16 nov 2007, 12:53
Twitter: bollewolle
Locatie: Gent
Uitgedeelde bedankjes: 191 keer
Bedankt: 91 keer

Klopt, mag inderdaad niet zomaar bijgehouden worden. De meeste bedrijven hebben echter wel toelating deze bij te houden voor hun personeel aangezien dit verplicht is om mee te sturen bij DMFA aangiftes (en Dimona aangifte ook als ik me goed herinner). Maar dat is dus enorm afgelijnd waarvoor die mag gebruikt worden. Voor alle andere doeleinden moet dit specifiek aangevraagd worden.
Voor tijdelijke werkkrachten via een interim bureau ben ik echter niet zeker of je het RR mag bijhouden. Die werken officieel voor het interim kantoor dus zij mogen/moeten die wel bijhouden maar ik denk niet dat de afnemer ervan deze mag bijhouden. Best eens navragen aan de bevoegde instanties.
blaatpraat
Elite Poster
Elite Poster
Berichten: 1300
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

nickz schreef:Je kan mensen eenduidig identificeren aan de hand van voornaam, familienaam en geboortedatum.
Spreek ik tegen.
Ik ken iemand die mijn familienaam draagt, dezelfde voornaam als mijn vader en dezelfde geboortedatum.
Nee, we zijn geen gekende familie van elkaar (alhoewel dat iedereen minstens tot in de 7e graad aan elkaar verwant is, of iets dergelijks).

Die 3 gegevens zijn niet voldoende om uniek te zijn.
Zelfs als je "PC" en "stad/gemeente" zou toevoegen, zou het in dit geval nog niet uniek zijn.


Ja, dit is maar 1 kleine kans, maar je hebt de kans, en hij komt voor in de praktijk.
Gebruikersavatar
letoir
Member
Member
Berichten: 67
Lid geworden op: 25 dec 2010, 22:11
Uitgedeelde bedankjes: 4 keer

blaatpraat schreef:Die 3 gegevens zijn niet voldoende om uniek te zijn.
Zelfs als je "PC" en "stad/gemeente" zou toevoegen, zou het in dit geval nog niet uniek zijn.
Ja, dit is maar 1 kleine kans, maar je hebt de kans, en hij komt voor in de praktijk.
Het probleem is niet dat we unieke users willen toevoegen, daar is onze oplossing de email.
Met email gaan we altijd unieke users hebben, maar wij hebben het RR nodig om het door te sturen zodat een interim bureau contracten kan maken etc.



We willen volledig online werken met ons platform, en een user naar een interim bureau laten komen zou ook geen goede oplossing zijn.
Hebben jullie anders enige work arrounds ?
philippe_d
Moderator
Moderator
Berichten: 17487
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 921 keer
Bedankt: 3348 keer
Recent bedankt: 5 keer

letoir schreef:We willen volledig online werken met ons platform, en een user naar een interim bureau laten komen zou ook geen goede oplossing zijn.
Hebben jullie anders enige work arrounds ?
Ik begrijp jouw bedoeling wel.
Maar is het nodig om een Db aan te leggen met alle EID numemrs van iedereen in de Database?
Of misschien kan het opslaan beperkt worden voor alléén die users waarvan je de gegevens moet overmaken aan het interim kantoor?
In dit wel omgelijnd kader, zal je wellicht wel de toelating krijgen om de RR nummers bij te houden.

Eens het interim contract voorbij, heb je dat nummer niet meer nodig, dat kan dus terug gewist worden?

PS.
Een interim contract is een deal tussen een interim kantoor en een werknemer, contractueel gezien ben je als werkgever/opdrachtgever geen betrokken partij ...
Begrijp dus niet waarom het "geen goede oplossing zou zijn" om de user naar het interim kantoor te sturen, want wettelijk gezien moet hij daar zijn interim contract ondertekenen, zijn maaltijdcheques afhalen, enz ...
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
liber!
Elite Poster
Elite Poster
Berichten: 920
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 230 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

Je kan hiervoor een aanvraag indien om het te mogen opslaan (of verduidelijking):

https://www.privacycommission.be/nl/mac ... ocedure-rr

Ps. Als je het in Azure SQL opslaat (na toelating) kan je best gebruik maken van:
Gebruikersavatar
letoir
Member
Member
Berichten: 67
Lid geworden op: 25 dec 2010, 22:11
Uitgedeelde bedankjes: 4 keer

philippe_d schreef:Maar is het nodig om een Db aan te leggen met alle EID numemrs van iedereen in de Database?
Of misschien kan het opslaan beperkt worden voor alléén die users waarvan je de gegevens moet overmaken aan het interim kantoor?
In dit wel omgelijnd kader, zal je wellicht wel de toelating krijgen om de RR nummers bij te houden.
Nee het is idd, niet de bedoeling om het RR nr van iedere user op te slaan, we zouden twee soorten accounts toevoegen, WG en Studenten.
En voor de WG hebben we dat niet nodig, daar werken we met VAT nrs, hopenlijk mag je die wel opslaan :S :D
Maar voor studenten zou dat enkel moeten indien ze voor een project willen gaan werken.
philippe_d schreef: Eens het interim contract voorbij, heb je dat nummer niet meer nodig, dat kan dus terug gewist worden?
Wil je zeggen dat zoiets wel mag zonder toestemming ofdat we gemakkelijker goedkeuring krijgen als we zo gaan werken.
philippe_d schreef: Een interim contract is een deal tussen een interim kantoor en een werknemer, contractueel gezien ben je als werkgever/opdrachtgever geen betrokken partij ...
Begrijp dus niet waarom het "geen goede oplossing zou zijn" om de user naar het interim kantoor te sturen, want wettelijk gezien moet hij daar zijn interim contract ondertekenen, zijn maaltijdcheques afhalen, enz ...
We zijn eigenlijk een startup gestart om voornamelijk met studenten te werken die STEM opleidingen volgen, die studenten willen we jobs (studentenjobs) aanbieden in hun gekozen studie traject ipv dat ze studentenjobs zouden gaan doen in iets wat niets met hun studies te maken heeft.
Maaltijdcheques komen vaak niet in aanmerking voor studentenjobs, in het geval van contracten onderteken, we zouden zoveel mogelijk online willen doen of via de post. Een aantal banken werken ook op die manier bv keytrade bank.

Enkele ideeen of suggesties zijn welkom.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ik vraag me af of de wet een loophole heeft die toelaat om enkel de 3 cijfertjes bij te houden?
De rest van het nummer is nl de geboortedatum en een controlegetal.
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

letoir schreef:Enkele ideeen of suggesties zijn welkom.
Volgens mij is er geen enkel probleem als je samenwerkt met een interimbureau dat ook digitaal werkt met een eID-webapplicatie en eventueel een API.
Je moet dan wel eerst eens heel grondig onderzoeken hoe digitaal de Belgische interimbureaus momenteel al werken.
Daarna is het kwestie van het interimbureau te kiezen waarop jouw webapplicatie het best kan inpikken, ideaal zou zijn als er een full-blown API beschikbaar is waarmee jouw applicatie kan communiceren met het interimbureau. Dan is het kwestie van de privacygevoelige informatie rechtstreeks via de API van het interimbureau te versturen en hoef jij niets illegaal op te slaan.

Steek je licht eens op bij http://www.federgon.be , de federatie van HR-dienstverleners, zij hebben een goed zicht op hoe digitaal hun leden zijn, ze beheren trouwens een digitaal platform http://www.interimsign.be/ dat door verschillende interim-bureaus wordt gebruikt.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Waarom opslaan? Laat hen het contract tekenen via e-id, daar is (was?) een api voor. Digitaal gesigneerd, niet nodig de rijksregisternummer op te slaan. Tenminste als het puur voor het contract moet dienen.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Zelfs de pure verwerking (laat staan het opslaan) van een rijksregisternummer vereist een toelating van de privacycommissie. "Verwerking" = alle mogelijke handelingen die je met data kunt verrichten.

En ik kan u zeggen, voor andere gegevens doen ze al moeilijk, voor het gebruik van het rijksregisternummer doen ze extra moeilijk. Dus als het kan, zoek een andere methode. Een van de voorwaarden is altijd dat je de gegevens niet langer mag opslaan dan strikt noodzakelijk.

Anderzijds is het ook zo dat als je die gegevens toch verwerkt zonder toelating, dan ga je *WAARSCHIJNLIJK* nooit iets tegenkomen zolang er niets gebeurt, en dat is wat veel firma's doen (aka: doen alsof ze niet weten dat je toelating nodig hebt). Als uw db gehackt wordt en de gegevens liggen op straat ga je het dan wel enorm vlaggen hebben natuurlijk. Gelukkig dat Belgie te klein is om echt een interessant doelwit te zijn van hackers (in de VS is het een ander verhaal).
ITnetadmin schreef:Ik vraag me af of de wet een loophole heeft die toelaat om enkel de 3 cijfertjes bij te houden?
Nee.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Maak gewoon een hash van het nummer en sla dat op... al weet ik niet of zelfs dat mag.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Nee, want dat vereist verwerkingen van het echte nummer.
dovo
Plus Member
Plus Member
Berichten: 118
Lid geworden op: 28 nov 2015, 21:18
Uitgedeelde bedankjes: 13 keer
Bedankt: 39 keer

r2504 schreef:Maak gewoon een hash van het nummer en sla dat op... al weet ik niet of zelfs dat mag.
Een hash is zo te kraken, zeker als je weet dat het begin van een rijksregisternummer een geboortedatum is, welke in geval van datalek hoogstwaarschijnlijk ook in de db zal zijn te vinden. Verder heb je dan nog 5 cijfers. Met een paar seconden kan ja dan iedere rijksregister nummer achterhalen.

Er staat op een Belgische eid-kaart ook een nummer van de eid-kaart. Die mag je wel verwerken mits toestemming van de persoon van wie die kaart is, als het systeem van derden dit niet accepteert, dan neem je best contact met hun op dat hun systeem fout ontworpen is. Er zijn maar enkele gevallen waar een rijksregister effectief nodig is.

Als een interim of wat ook vereist dat ik een rijksregister nr opgeef, en zij zijn te lui om zelfs nog maar hun site met https te beveiligen vul ik steeds een foutief nummer in, vaak willen die platformen gewoon een nummer zonder het zelfs nodig te hebben. (bv. 99.99.99-999.99) Als zij het dan achteraf nodig hebben zal ik het wel aanpassen. Het feit dat sommige interims niet eens https gebruiken maakt duidelijk dat ze niet begrijpen wat privacy is.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

dovo schreef: Er staat op een Belgische eid-kaart ook een nummer van de eid-kaart. Die mag je wel verwerken mits toestemming van de persoon van wie die kaart is
Ja, maar dat nummer verandert elke 10 jaar (of eerder) en kan dus niet gebruikt worden als volledig unieke identifier.
dovo schreef: Als een interim of wat ook vereist dat ik een rijksregister nr opgeef, en zij zijn te lui om zelfs nog maar hun site met https te beveiligen vul ik steeds een foutief nummer in, vaak willen die platformen gewoon een nummer zonder het zelfs nodig te hebben. (bv. 99.99.99-999.99) Als zij het dan achteraf nodig hebben zal ik het wel aanpassen. Het feit dat sommige interims niet eens https gebruiken maakt duidelijk dat ze niet begrijpen wat privacy is.
Terechte bemerking. Ik vul ook altijd een fictief RRN in, nog nooit problemen gehad.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

dovo schreef:Een hash is zo te kraken, zeker als je weet dat het begin van een rijksregisternummer een geboortedatum is, welke in geval van datalek hoogstwaarschijnlijk ook in de db zal zijn te vinden. Verder heb je dan nog 5 cijfers. Met een paar seconden kan ja dan iedere rijksregister nummer achterhalen.
Dat maak jij je hashes slecht aan... voeg gewoon extra data (bv. een vast stukje tekst, z'n naam, ..) toe aan het RRN voor je de hash maakt en dat probleem is opgelost.
CCatalyst schreef:Nee, want dat vereist verwerkingen van het echte nummer.
Dat is vermoedelijk inderdaad een reden waarom het niet mag.

Ik denk echter dat het het enige gegeven is dat statisch is... al de andere dingen zoals het kaartnummer, (een hash van) foto, ... veranderen uiteindelijk wel vrees ik.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Met het verbieden van de "verwerking" van het nummer (wat ik an sich een goeie zaak vind), hebben ze je vrij goed ingeboxed vrees ik.
Plaats reactie

Terug naar “Development”