Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me:

Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om inzage te krijgen in alle persoonsgegevens die een bedrijf of instantie over je heeft, en ook het recht om daarin correcties aan te brengen of deze te laten verwijderen (mits niet meer relevant).

Dat laatste recht heet onder de AVG ook wel het recht te worden vergeten, maar dat is meer een marketingterm dan iets anders. Het gaat gewoon om het recht om irrelevante of verouderde gegevens te laten verwijderen uit bestanden.

Het recht van inzage wordt onder de AVG verder nog uitgebreid: je hebt dan recht op een elektronische kopie in een gebruikelijk bestandsformaat, zodat je de data elders kunt hergebruiken. (Wel met de beperking dat de data dan wordt verwerkt met jouw toestemming of krachtens een overeenkomst.)

Organisaties moeten binnen vier weken reageren op het verzoek. Natuurlijk moeten ze daarbij zorgvuldig omgaan met je gegevens, en onderdeel daarvan is verifiëren of jij wel echt de persoon bent om wie het gaat. Dit met een identiteitsbewijs nagaan is dus een logische manier.

In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo’n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Arnoud

Deel dit artikel

  1. Weer wat geleerd! Blijkbaar gaat het bij zo’n ‘kopie van ID aanvraag’ niet om de foto en bsn maar om, denk ik dan, de handtekening? Heb ik me nooit zo gerealiseerd, maar ik zal er wel aan denken als ik weer een keer iets naar KvK of zo moet sturen. Dank en groet, Gerard

  2. Het vragen van een kopie ID is niet echt waterdichte identiteitscheck. Iedereen kan een kopie maken van een ID van een ander en dat insturen (bijv een familielid of de poetshulp) met het verzoek om de gegevens te overhandigen. Natuurlijk mag dat niet, maar het is niet te controleren. Als bedrijf kun je m.i. met een dergelijk proces niet met droge ogen beweren dat je afdoende de identiteit van de aanvrager heb gecontroleerd. Wellicht een betere oplossing is een webformulier wat je laat ondertekenen door de aanvrager met bijv DigiD of iDIN.

  3. Misschien is het ook beter geen kopieën te maken op een openbaar kopieer apparaat in een kopieshop of iets dergelijks. Kopieën van documenten blijven namelijk achter op de harde schijf van het kopieer-apparaat. Na afschrijving van het apparaat is er geen enkele garantie dat deze harddisk vernietigd wordt, dan wel hergebruikt.

  4. Arnoud heb jij het nu over een kopie ID of alleen het tonen van een ID. Vind ik nog al een verschil. In de link die je geeft maken ze daar ook een groot verschil in. Tonen is voor een bedrijf en misschine voor jezelf ook lastiger want je moet fysiek ergens zijn zodat ze het kunnen overschrijven. Maar zelf vind ik dat wel een stuk veiliger. (als ervarings deskundige) liever kosten en tijd maken dan lang aan iets vast zitten waar je niets aan kan doen en dan zelf naa rde rechtbank moet stappen enz. enz.

    • Ik zit met dezelfde vraag.

      De Autoriteit Persoonsgegevens stelt in zijn richtsnoer (p.9)’…. een organisatie alleen in zeer uitzonderlijke gevallen gegevens van een id mag overnemen of kopiëren…… In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is….’

  5. Tegenwoordig worden bij heel veel zaken al om je ID gevraagd. Ook vooral opletten in het buitenland hiermee, daar wordt blijkbaar nogal eens gevraagd om een kopie van je ID als je je bij een hotel incheckt. Wel van mensen gehoord dat die gewoon niet binnen mochten totdat ze een kopie van hun ID afgaven. Op cruises bv. De Kopie-ID app is dan nog wel een goede oplosing, heb je in ieder geval veel meer controle over de kopie die je afgeeft, in plaats van dat zij het voor je kopieeren op een kopieerapparaat.

  6. Na het vorige “zwarte lijst” artikel 3 inzageverzoeken gedaan.

    1.) “U moet op een Nederlands adres wonen, anders kunnen we u geen gegevens geven.” Echter, ik kan deze regel nergens terugvinden en heb de consumentenbond om opheldering gevraagd. Nog geen antwoord gekregen.

    2.) Een ingewilligd inzageverzoek, maar erg vaag: Mijn adresgegevens, geboortedatum, en naam stond in het systeem, gekoppeld aan “Verhuurbedrijf”. Nu heb ik op dat adres nooit iets gehuurd, dus vraag ik me nog steeds af of dit correcte gegevens zijn of niet.

    3) Nog geen antwoord gekregen.

  7. Soms verklaren bedrijven je ID “ongeldig” als je er een tekst overheen plaatst ter voorkoming van oneigenlijk gebruik 😉 Heb geprobeerd om uit te leggen waarom ik dit doe en dat het zelfs door de Nederlandse overheid wordt geadviseerd, maar heeft men geen boodschap aan. Jammer dan, dan heb ik geen boodschap aan dat bedrijf.

  8. Een kopietje ID is zo makkelijk te vervalsen, zeker als foto en BSN verwijderd worden, dat het tegen een kwaadwillende erg weinig bescherming biedt. En voor een goedwillende is het wel vervelend voor de privacy. Eventueel in combinatie met andere verificatiechecks, een hoge kwaliteit kopie en goede verificatiesoftware of opgeleide deskundigen kan het, maar dit lijkt zelden de praktijk. Moet echt anders, zoals Martin ook zegt.

  9. Wat we dus nodig hebben is een soort van attestatiefunctie door de overheid. Bedrijf wil identiteit weten van persoon, dus stuurt een verzoekje “bevestig dat u Pietje Puk, geboren dan-en-dan, bent, ten behoeve van aanvraag gegevens bij bedrijf XYZ”. Persoon logt in met DigId, en vraagt dan de overheid dit bericht digitaal te ondertekenen. Overheid ondertekend met (te selecteren) gegevens uit het account van persoon, en persoon stuurt het ondertekende berichtje terug. Bedrijf kan daarna dit controleren aan de hand van de publieke sleutel van de overheid. Geen noodzaak om BSN of wat dan ook te delen, behalve de informatie die nodig is om het verzoek uit te voeren.

    • Ongeveer, behalve dat dit m.i. niet een overheidsdienst hoeft te zijn, Waarom niet iDIN of een andere private identiteitsdienst die op een voldoende betrouwbaarheidsniveau kan vaststellen dat Pietje Puk inderdaad Pietje Puk is. Ik zie de overheid hier ook niet snel in bewegen, althans niet richting private dienstverleners. Om het nog iets ingewikkelder te maken, helaas is combi van naam en geboortedatum niet uniek, maar ook een doorgekrast kopietje paspoort lost dit niet op. In combinatie met bv een klantnummer valt hier ook wel om heen te werken, het risico op het lekken van persoonsdata lijkt me iig veel lager dan het doorgekraste kopietje ID dat Arnout voorstelde.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS