Mag je als sociale bezorgdienst een ID verlangen van klanten?

Een lezer (hoi Wim) wees me op sociale bezorgdienst Homerr dat zichzelf als de “toekomst van pakketbezorging” afficheert. Kern van het concept is dat iedereen, zowel particulier als bedrijf, zich kan aanmelden als pakketontvanger binnen zelfgekozen tijden. Je krijgt dan pakketjes van de logistieke dienst, waarna de werkelijke ontvangers -die in jouw buurt wonen natuurlijk- deze dan kunnen afhalen. En per pakketje krijg je betaald. Daarbij moeten die mensen zich identificeren, wat natuurlijk vragen oproept omtrent privacywetgeving. Mag dat eigenlijk wel, als pakketdienst eisen dat je een ID te zien krijgt? Of dat je daar een kopie van maakt?

Het concept is op zich best slim. Lang niet iedereen kan de hele dag thuis zijn, maar af en toe thuis zijn en dan een pakketje aannemen – tegen betaling, overigens – is voor veel mensen wel te doen. Omgekeerd heb je als webwinkelshopper zo ineens veel meer ruimte om een pakketje ergens te laten bezorgen dat op loopafstand is en open is wanneer jij daar tijd voor hebt, wat zeker in een buitenwijk erg fijn kan zijn.

Natuurlijk wil je niet dat mensen pakketjes aan de verkeerde meegeven. Ik zie dan ook geen bezwaar tegen het verlangen van het tonen van een identiteitsbewijs zodat de pakketontvanger naam en foto kan vergelijken met de persoon voor hem, en met het pakketje. Ik zou AVG-technisch dat gewoon een logische invulling noemen van de grondslag “uitvoering overeenkomst”.

Kopietjes maken van die identiteitsbewijzen ligt natuurlijk anders. Dan kom je in een mijnenveld terecht: er staan allerlei gegevens op die jij als pakketjesuitleveraar helemaal niet nodig hebt, zoals een pasfoto of een burgerservicenummer. Of een geboortedatum. Of een woonplaats. Of een, ja noem maar op. Want eigenlijk is de vraag algemener: waarom máák je überhaupt dat kopietje, wat wil je daarmee doen?

De enige reden die ik kan bedenken (naast de beperkte en niet niet van toepassing zijnde wettelijke plichten over kopietjes bewaren) is dat je bewijs wilt bewaren dat je het identiteitsbewijs hebt gezien. Een kopie van iets hebben bewijst immers onomstotelijk dat je het origineel hebt gezien.

Maar is het nódig? Als jij een proces hebt waarbij je identiteitsbewijzen ziet en daarna het nummer noteert, dan lijkt me dat bewijstechnisch prima in orde. Dat is ook de procedure die Homerr hanteert overigens. Prima in orde dus, wat mij betreft.

Zullen we gewoon afspreken dat we stoppen met kopietjes van identiteitsbewijzen maken? Gewoon, iedereen (behalve werkgevers en banken/verzekeraars want die moeten het). Dus ook hotels, autoverhuurders en anderen wiens werkprocessen dit voorschrijven of die denken dat een ISO-gedocumenteerd proces met deze stap erin het een wettelijke plicht maken?

Arnoud

18 reacties

  1. “Zullen we gewoon afspreken dat we stoppen met kopietjes van identiteitsbewijzen maken?” … Gaat niet werken; die ID-kopieerders zijn ID-kopieren-geil. En hen wordt geen strobreed in de weg gelegd.

    Ik denk zelfs dat een “Meldpunt Illegaal Kopietje ID” niet gaat helpen.

    1. Inderdaad, laatste keer dat ik weigerde paspoort af te geven voor een kopietje – schrijf paspoort nummer maar op was mijn reactie – dreigden ze de hotelkamer te annuleren, maar omdat het mijn schuld was zou ik wel moeten betalen. Uiteindelijk gingen ze overstag toen ik volhield en zei dat ik er geen enkel probleem mee had wanneer zij zichzelf op kosten wilden jagen voor een onterechte incasso die ik nooit zou betalen.

      Maar goed, dat was gewoon in Nederland. ik wil niet weten hoeveel kopieen van mijn paspoort in het buitenland in omloop zijn 🙁

  2. Ik moet zo vaak een ID laten zien, maar het stoort me erg.

    Waarom moet ik voor het ophalen van een pakje (van Homerr of van een van de traditionele bezorgdiensten) een ID laten zien? Ik kan immers op eender welke fantasienaam (Mw An Oniem) bestellen. Betekent dat dat ik het pakje nooit kan afhalen met mijn eigen ID? Helaas in de praktijk wel. En als ik nu niet wil dat de werknemer van het afhaalpunt weet dat ik Bill Gates of Maxima Zorreguieta heet? Hoe moet het dan?

    Ik begrijp best dat de bezorgdiensten een waarborg willen inbouwen om te zorgen dat ze een pakje niet aan een verkeerde persoon geven, maar moet dat met zo’n overkill-methode als een officiele, governments-issued ID? Kan dat niet gewoon met een speciaal daartoe gestuurde bevestigingsemail?

    1. Het vreemde is nog dat je bij officiele pakketpunten zendingen kunt ophalen die niet op jouw naam staan (bv van mijn vrouw (die een andere achterbaam heeft zoals dat tegenwoordig gaat)). Men vraagt dan om mijn i.d., maar controleert het verder niet met de tenaamstelling.

      1. Achterbaam? 😀

        Tja, mijn punt met deze vraag is vooral hoe goed je erop kunt vertrouwen dat een leek (mijn buurman) weet hoe hij met mijn identiteitsbewijs om moet gaan. Kortom, er komt een pakketje aan voor mij bij mijn buurvrouw en iemand onderschept het bericht naar mij. Deze persoon gaat het pakketje dan “namens mij” ophalen bij mijn buurvrouw. Zet daarvoor ook even een nep-ID in elkaar want met een lamineerapparaat en een goede kleurenprinter kom je al een eind en gaat daarna op pad. Buuf controleert het ID en merkt niet dat het nep is en weg is mijn bestelling Arduino-bordjes van AliExpress! :-O

        Nou ja, dit zal eigenlijk een zeer kleinschalig probleem zijn dus zo erg is het ook weer niet. Maar je zit uiteindelijk wel met de bewijslast want ik heb niets ontvangen maar mijn buuf zegt dat ze het heeft afgegeven en zelfs mijn ID heeft gecontroleerd.

  3. Hoi Arnoud! 🙂

    Tja, ik vroeg me al af of er iets mee mis kan gaan. Ik zie namelijk twee problemen in het geval dat een bezorger een identiteitsbewijs moet zien voor hij het pakketje afgeeft:

    1. De bezorger maakt een kopie als bewijs. Dan krijg je een AVG-probleem.

    2. De bezorger maakt geen kopie. Dan kan de ontvanger later claimen het niet te hebben ontvangen.

    Je zit dan als bezorger met een duidelijk probleem. Ik weet wel dat een postcentrum bij een doe-het-zelf winkel in mijn wijk vraagt om een ID bewijs en dan noteert wat het nummer is. Dat kan overigens met een barcode-scanner zodat alleen het ID nummer bekend is. Op zich nog best een goede aanpak. Maar het gaat vooral om vertrouwen.

    Maar ja, hoe gaat dat uiteindelijk via deze app? Vertrouwen mensen erop dat hun buurman netjes zal omgaan met deze gegevens?

    Overigens, ikzelf heb een vrij goed geheugen voor nummers en ben in staat om telefoonnummers en dus ook BSN nummers snel te onthouden. Dat is geen unieke gave, overigens. Dit betekent dat een handige bezorger dus een verzameling BSN nummers van mensen uit de wijk kan verzamelen en “iets” mee doen. Maar ja, om hoeveel data zal het uiteindelijk gaan? Het gaat mij meer om dat in principe data terecht kan komen bij mensen die dit niet hoeven te weten.

    1. Er is een redelijk eenvoudige, AVG-vriendelijke, oplossing voor het probleem dat de ontvanger kan claimen het pakket niet te hebben ontvangen: De dienst (Homerr) stuurt de ontvanger een afhaal-code (bijvoorbeeld een lang nummer). De ontvanger gaat naar de afhaallocatie, toont daar z’n ID en geeft het afhaalpunt de code. Het afhaalpunt controleert het ID met de naam die bij de zending hoort (om te voorkomen dat iemand een zending in ontvangst neemt die niet voor hem/haar bedoeld is) en noteert de code. De afhaal-code kan later worden gebruikt om aan te tonen dat de daadwerkelijke ontvanger het pakket heeft opgehaald. Deze code is in eerste instantie alleen bekend bij ontvanger en Homerr en als het afhaalpunt de geldige code kan laten zien, dan betekent dit dat hij deze van de ontvanger heeft gekregen.

      1. Ket kan nog handiger indien de ontvanger ook een Homerr app heeft. Dan ga je naar de afhaallocatie en toont daar een QR code die de app genereert die het afhaalpunt dan scant ter bevestiging. Dan is meteen de administratieve rompslomp afgehandeld.

        Dat neemt niet weg dat voor sommige pakketten een identiteitsbewijs als extra beveiliging nodig is. Het bezorgpunt moet kunnen aantonen dat ze het ID hebben gezien, anders kan ik alsnog claimen dat ik het niet ontvangen heb. Maar hoe bewijzen ze dit zonder een kopietje ervan?

        Mijn lokale afhaalpunt in een doe-het-zelf winkel kent mij ondertussen al lang maar ook zij vragen steeds weer mijn rijbewijs ter bevestiging en met een barcode-scanner lezen ze dan de barcode in. Het ID-nummer is dan voldoende. Maar een barcodescanner op een mobiel apparaat wantrouw ik want dat ding heeft een camera, niet een laser met leesmodule. Hoe weet ik dat er niet stiekem een kopie ID wordt gemaakt?

  4. Het is tegenwoordig helaas niet altijd vertrouwd of gewenst om je daadwerkelijke credentials op het internet te gebruiken. Voor vrijwel al mijn bestellingen gebruik ik een alias met bijbehorend email adres. Op een paar uitzonderingen na, mobiele telefoons met contracten etc., is het geen verplichting dat de besteller ook diegene is die het pakket in ontvangst neemt. Vaak nemen tenslotte ook medebewoners/familieleden een pakket aan. Een enkele keer, als niemand thuis was en het pakket naar een afhaal punt wordt gebracht, is dit soms wel een probleem. Dit lost mijn vrouw, of ik, altijd op door de bestel/verzend/factuurbevestiging mee te nemen, digitaal uiteraard. Tot nu toe heeft dit nog nooit problemen opgeleverd, alleen soms wat onduidelijk gemopper van de balie medewerker.

  5. Waarom niet iedere klant van Homer een email met QR code mailen, die ze zo op hun scherm kunnen laten zien bij het ophalen. Eventueel ook een 12 teken ID die je met de pen kan overschrijven als je geen printer of smart device hebt ter ID.

    Hiermee biedt je iedereen een simpele manier aan die voor iedereen kan werken en geen privacy kost. Je kan hierbij als backup nog aanbieden dat een ID ook werkt, maar dan kies je er zelf voor dat je lui bent en liever privacy betaald dan zelf de code mee te nemen.

    1. Email kan (tamelijk triviaal) onderschept en gekopieerd worden. Zowel bij de (ISP van de) verzender (een onbetrowbare medewerker) als bij de (ISP van de) ontvanger (van .forward files tot gehackte wachtwoorden.) Iets dat per e-mail verstuurd wordt is niet uniek en maar beperkt bewijs van identiteit.

  6. Arnoud, de overheid heeft een app genaamd Kopie ID. Die toont alleen de noodzakelijke informatie van je ID-kaart op de gemaakte foto. Kan de bezorgdienst (en andere ondernemers die een kopietje verlangen) die dan niet gebruiken?

    1. Dat is niet het grote probleem. De vraag is: vertrouw je de buurman dat hij je ID niet gaat misbruiken?

      Het idee van Homerr is dat iedereen zich kan aanmelden om een afhaalpunt in een wijk te worden. Dus ook de buurman die in de zomer naar luide accordeonmuziek luistert met de ramen open en de gehele buurt laat meegenieten. Die mogelijk een strafblad heeft en daarnaast ook handelt in geestverruimende middelen.

      Het is daarnaast ook handig dat de buurt weet dat op adres X regelmatig pakjes binnenkomen en dus dat er “buit” ligt. Handig ook dat men aangeeft wanneer dit buurtpunt dus open is, zodat men op de andere momenten ongestoord een bezoekje kan brengen.

      Kortom, is mijn pakket wel veilig op dat adres en gaat men vervolgens zorgvuldig om met mijn ID gegevens? (En andere gegevens want die wekelijkse bruine envelop die steeds op het bestelpunt binnenkomt is natuurlijk wel opvallend.) Maar met mijn ID ben ik wel zeer voorzichtig.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.