Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

Een lezer vroeg me:

Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om inzage te krijgen in alle persoonsgegevens die een bedrijf of instantie over je heeft, en ook het recht om daarin correcties aan te brengen of deze te laten verwijderen (mits niet meer relevant).

Dat laatste recht heet onder de AVG ook wel het recht te worden vergeten, maar dat is meer een marketingterm dan iets anders. Het gaat gewoon om het recht om irrelevante of verouderde gegevens te laten verwijderen uit bestanden.

Het recht van inzage wordt onder de AVG verder nog uitgebreid: je hebt dan recht op een elektronische kopie in een gebruikelijk bestandsformaat, zodat je de data elders kunt hergebruiken. (Wel met de beperking dat de data dan wordt verwerkt met jouw toestemming of krachtens een overeenkomst.)

Organisaties moeten binnen vier weken reageren op het verzoek. Natuurlijk moeten ze daarbij zorgvuldig omgaan met je gegevens, en onderdeel daarvan is verifiëren of jij wel echt de persoon bent om wie het gaat. Dit met een identiteitsbewijs nagaan is dus een logische manier.

In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo’n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Arnoud

23 reacties

  1. Weer wat geleerd! Blijkbaar gaat het bij zo’n ‘kopie van ID aanvraag’ niet om de foto en bsn maar om, denk ik dan, de handtekening? Heb ik me nooit zo gerealiseerd, maar ik zal er wel aan denken als ik weer een keer iets naar KvK of zo moet sturen. Dank en groet, Gerard

    1. Er zijn een hoop bedrijven die wel mijn gegevens verwerken, maar niet de beschikking hebben over mijn handtekening. Op basis daarvan kunnen ze het dus niet vaststellen. Mijn aanname is dat ze de naam matchen. De rest maak ik normaliter allemaal onleesbaar.

  2. Het vragen van een kopie ID is niet echt waterdichte identiteitscheck. Iedereen kan een kopie maken van een ID van een ander en dat insturen (bijv een familielid of de poetshulp) met het verzoek om de gegevens te overhandigen. Natuurlijk mag dat niet, maar het is niet te controleren. Als bedrijf kun je m.i. met een dergelijk proces niet met droge ogen beweren dat je afdoende de identiteit van de aanvrager heb gecontroleerd. Wellicht een betere oplossing is een webformulier wat je laat ondertekenen door de aanvrager met bijv DigiD of iDIN.

  3. Misschien is het ook beter geen kopieën te maken op een openbaar kopieer apparaat in een kopieshop of iets dergelijks. Kopieën van documenten blijven namelijk achter op de harde schijf van het kopieer-apparaat. Na afschrijving van het apparaat is er geen enkele garantie dat deze harddisk vernietigd wordt, dan wel hergebruikt.

  4. Arnoud heb jij het nu over een kopie ID of alleen het tonen van een ID. Vind ik nog al een verschil. In de link die je geeft maken ze daar ook een groot verschil in. Tonen is voor een bedrijf en misschine voor jezelf ook lastiger want je moet fysiek ergens zijn zodat ze het kunnen overschrijven. Maar zelf vind ik dat wel een stuk veiliger. (als ervarings deskundige) liever kosten en tijd maken dan lang aan iets vast zitten waar je niets aan kan doen en dan zelf naa rde rechtbank moet stappen enz. enz.

    1. Ik zit met dezelfde vraag.

      De Autoriteit Persoonsgegevens stelt in zijn richtsnoer (p.9)’…. een organisatie alleen in zeer uitzonderlijke gevallen gegevens van een id mag overnemen of kopiëren…… In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is….’

  5. Tegenwoordig worden bij heel veel zaken al om je ID gevraagd. Ook vooral opletten in het buitenland hiermee, daar wordt blijkbaar nogal eens gevraagd om een kopie van je ID als je je bij een hotel incheckt. Wel van mensen gehoord dat die gewoon niet binnen mochten totdat ze een kopie van hun ID afgaven. Op cruises bv. De Kopie-ID app is dan nog wel een goede oplosing, heb je in ieder geval veel meer controle over de kopie die je afgeeft, in plaats van dat zij het voor je kopieeren op een kopieerapparaat.

  6. Na het vorige “zwarte lijst” artikel 3 inzageverzoeken gedaan.

    1.) “U moet op een Nederlands adres wonen, anders kunnen we u geen gegevens geven.” Echter, ik kan deze regel nergens terugvinden en heb de consumentenbond om opheldering gevraagd. Nog geen antwoord gekregen.

    2.) Een ingewilligd inzageverzoek, maar erg vaag: Mijn adresgegevens, geboortedatum, en naam stond in het systeem, gekoppeld aan “Verhuurbedrijf”. Nu heb ik op dat adres nooit iets gehuurd, dus vraag ik me nog steeds af of dit correcte gegevens zijn of niet.

    3) Nog geen antwoord gekregen.

    1. Wat zou je tegen niet complete of niet volbrachte inzageverzoeken kunnen doen?
      Kunnen we dit alleen aangeven bij het CBP of zou je bijvoorbeeld aangifte kunnen duren? Ik kan me voorstellen dat de politie daar niet heel vrolijk van wordt.

  7. Soms verklaren bedrijven je ID “ongeldig” als je er een tekst overheen plaatst ter voorkoming van oneigenlijk gebruik 😉 Heb geprobeerd om uit te leggen waarom ik dit doe en dat het zelfs door de Nederlandse overheid wordt geadviseerd, maar heeft men geen boodschap aan. Jammer dan, dan heb ik geen boodschap aan dat bedrijf.

    1. Dit gaat dan bijvoorbeeld over de automatische ID check die door o.a. AirBnb wordt gebruikt. Tekst over je ID plaatsen maakt hem voor die automatische tool ongeldig. Dit is een Amerikaanse partij; dus lekker buiten het bereik van onze privacy wetgeving; al heeft AirBnb natuurlijk nog wel een Europees kantoor. Wat je nog wel kan doen is je foto lichtelijk vervormen, zodat deze niet voor gezichtsherkenning gebruik kan worden.

      Uiteindelijk denk ik dat we voor niet EU partijen conformiteit aan de GDPR moeten afdwingen op dezelfde manier als de VS conformiteit aan haar FATCA wetgeving afdwingt: alle betalingen tegenhouden zolang dat niet gebeurt.

    2. heb ik ook gehad. Ook het wegpoetsen van de BSN met mspaint werkte niet. Wat uiteindelijk wel werkte was een snippertje papier over de bsn heen leggen en dat fotograferen en opsturen.

      (Let op als je de achterkant moet meesturen, dat daar in de tekenreeks ook je bsn zit.)

  8. Een identiteitsbewijs is om aan te tonen, dat je bent, wie je zegt te zijn. Als je een kopie opstuurt is het controlemiddel er nog, maar hetgeen je controleert op afstand. Elke discussie over hoe je met kopieën ervan moet omgaan is derhalve zinloos.

  9. Een kopietje ID is zo makkelijk te vervalsen, zeker als foto en BSN verwijderd worden, dat het tegen een kwaadwillende erg weinig bescherming biedt. En voor een goedwillende is het wel vervelend voor de privacy. Eventueel in combinatie met andere verificatiechecks, een hoge kwaliteit kopie en goede verificatiesoftware of opgeleide deskundigen kan het, maar dit lijkt zelden de praktijk. Moet echt anders, zoals Martin ook zegt.

  10. Wat we dus nodig hebben is een soort van attestatiefunctie door de overheid. Bedrijf wil identiteit weten van persoon, dus stuurt een verzoekje “bevestig dat u Pietje Puk, geboren dan-en-dan, bent, ten behoeve van aanvraag gegevens bij bedrijf XYZ”. Persoon logt in met DigId, en vraagt dan de overheid dit bericht digitaal te ondertekenen. Overheid ondertekend met (te selecteren) gegevens uit het account van persoon, en persoon stuurt het ondertekende berichtje terug. Bedrijf kan daarna dit controleren aan de hand van de publieke sleutel van de overheid. Geen noodzaak om BSN of wat dan ook te delen, behalve de informatie die nodig is om het verzoek uit te voeren.

    1. Ongeveer, behalve dat dit m.i. niet een overheidsdienst hoeft te zijn, Waarom niet iDIN of een andere private identiteitsdienst die op een voldoende betrouwbaarheidsniveau kan vaststellen dat Pietje Puk inderdaad Pietje Puk is. Ik zie de overheid hier ook niet snel in bewegen, althans niet richting private dienstverleners. Om het nog iets ingewikkelder te maken, helaas is combi van naam en geboortedatum niet uniek, maar ook een doorgekrast kopietje paspoort lost dit niet op. In combinatie met bv een klantnummer valt hier ook wel om heen te werken, het risico op het lekken van persoonsdata lijkt me iig veel lager dan het doorgekraste kopietje ID dat Arnout voorstelde.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.