Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag?

Een lezer vroeg me:

Met enige regelmaat vraag ik bij organisaties een kopie van mijn persoonsgegevens op, zodat ik fouten kan laten herstellen of oude gegevens kan laten wissen. Dat kost al moeite genoeg, maar ik word er echt ontzettend moe van dat ik elke keer een kopietje paspoort moet opsturen. Ook als ze heus al wel weten wie ik ben, laatst zelfs nog was de procedure dat ik online moest inloggen (op “Uw Mijn xyz”, excuses aan de taalkundigen…) en daarna via het portaal mijn ID-bewijs moest uploaden. Kunnen ze dat echt van me eisen?

Nee, dat kunnen ze niet. Maar de praktijk is hier weer eens weerbarstiger dan de theorie.

Onder de AVG heb je diverse rechten, zoals inderdaad het recht op inzage en kopie van je persoonsgegevens (artikel 15). Die kopie kun je bijvoorbeeld gebruiken om fouten in je persoonsgegevens te spotten en die laten corrigeren, of om verouderde gegevens op te sporen en te laten verwijderen.

Praktisch punt bij die rechten uitoefenen is dat de verantwoordelijke natuurlijk wel moet nagaan dat jij het bent die het verzoek indient. Een dossier naar de verkeerde vrager sturen is een datalek, en dat moet je als bedrijf natuurlijk voorkomen. Dus een verificatie van de identiteit daar ontkom je niet aan.

Veel organisaties grijpen dan lui en makkelijk naar het kopietje identiteitsbewijs. Naast dat dit lang niet altijd zinnig is (ik kan een kopie paspoort van een ander opsturen, immers) mag het ook helemaal niet van de AVG. Artikel 12 maakt duidelijk dat je geen extra gegevens mag vragen alvorens een verzoek te honoreren. Je moet dus als verantwoordelijke nagedacht hebben hoe je betrokkenen herkent.

Specifiek bij online portalen is de AVG nog duidelijker. Overweging 57 zegt

(57) Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. De identiteit van de betrokkene dient ook digitaal te worden vastgesteld, bijvoorbeeld aan de hand van dezelfde persoonlijke beveiligingsgegevens, die door de betrokkene worden gebruikt voor het aanmelden op de door de verwerker van de gegevens aangeboden onlinedienst.

In gewone taal: als iemand ingelogd is, dan weet je dat hij het is en dan mag je geen extra identificatie van hem vragen. Dat lijkt me ook logisch, als ik ingelogd ben op Uw Mijn Online punt ennel (waar ik dan vervolgens met jij en jou wordt aangesproken, behalve in de foutmeldingen, argh) dan bén ik die klant. En als je zegt, iedereen kan inloggen op jouw account, dan erken je dus dat je beveiliging niet op orde is. En dan moet je dat oplossen in plaats van lapmiddelen zoals kopietjes paspoort gaan eisen.

Arnoud

18 reacties

  1. Het zou op zich wel redelijk zijn dat zo’n website dan registreert wat er gebeurt. Dat er bijvoorbeeld gecontroleerd wordt of er niet ineens vanuit een ander land wordt ingelogd of er recent wijzigingen van wachtwoorden of emailadressen heeft opgetreden. Als dit wel zo is, kunnen ze dan naar een oud telefoonnummer bellen. Daarbij is het wellicht handig de gegevens altijd fysiek naar een adres te sturen, als er een adres in het systeem zit, hoewel de aanvrager moet kunnen aangeven als dit adres verouderd is voordat er verstuurd wordt (met verifiërend telefoontje er achteraan)

  2. Het lijkt me inderdaad logisch dat het voor een organisatie voldoende is om een ingelogde klant als voldoende identificatie te zien. Eventueel kan een verificatiemail gebruikt worden als bevestiging voordat de gegevens definitief gewist worden.

    Het is echter anders bij de Google’s van deze wereld die informatie verzamelen zonder dat mensen bij heb geregistreerd staan. Kan ik ingelogd op een bepaald IP adres Google dirigeren om alle data geassocieerd met dan IP adres te wissen ?

    1. Ze kunnen dat combineren met kenmerken van je systeem. Bv het besturingssysteem of de resolutie. Op een dergelijke basis maken ze ook profielen, dat lijkt me dan ook goed genoeg om alles op te ruimen. Als ze zeggen dat ze het liever niet vrijgeven zonder meer controles heb ik minder moeite mee.

      Alles wat gegevens verzameld zonder account moet het ook zonder kunnen verwijderen lijkt mij.

      1. BKR vraagt nu om een e-mail adres en een fysiek adres. Als ze nu geen e-mailadres van mij hebben, dan is dat toch een extra persoonsgegeven.

        Als zij een Steven op postcode 1234AB huisnummer 5 kennen, kunnen ze de gegevens daarvan naar Steven, 1234AB nr 5 sturen.

      1. Geen app nodig, kan “gewoon” met een standaard browser. En dan ben ik weer bang dat je daar weer een wildgroei gaat krijgen. Vraag me af of dat te maken heeft met die nieuw wet, dat bedrijven jouw bankgegevens mogen inzien. Lijkt mij weer iets heel negatiefs om weer vrijwillig / verplicht jou bank gegevens in te zien .

        1. Inderdaad, ik héb niet eens een smartphone, dus ik kan niet mobiel bankieren, maar gisteren wel voor het eerst van mijn leven via iDin toegang gekregen tot het portaal van een verzekeraar. Gewoon met een laptop en een browser, en de beveiligingsmiddelen van de bank, zoals je die ook bij bijvoorbeeld een iDeal-betaling gebruikt.

  3. Als er om een zwartgemaakt kopie wordt gevraagd waar enkel naam opstaat dan lijkt me dat geen inbreuk en voldoende informatie biedend. Er zijn zoveel bedrijven en instellingen die geen portals, accounts of weet ik wat hebben. En het argument dat een gehackt account te wijten is aan de beveiliging van de verantwoordelijke vind ik niet bijster sterk. Een persoon kan prima toegang tot een account afstaan of kwijtraken zonder dat er iets met de beveiliging mis is. Om datalekken te voorkomen is een kopie id gewaarmerkt en met bsn plus codes onderaan zwartgemaakt in veel gevallen juist wel de beste methode. Niet zo zwart wit dus wat mij betreft.

    1. Over het algemeen maken die bedrijven zich helemaal geen zorgen om de gehackte accounts en kan je gewoon diensten/producten bestellen etc. Pas als je iets vervelends wil, zoals je gegevens verwijderen, dan wordt dit blijkbaar pas een issue

  4. Artikel 12 maakt duidelijk dat je geen extra gegevens mag vragen alvorens een verzoek te honoreren.

    Waar maakt Artikel 12 dit duidelijk? Voor zover ik het artikel lees, wordt juist overal benadrukt dat de verwerker de identiteit van degene die het verzoek indient, moet vaststellen. Volgens paragraaf 6 mag de verwerker daar ook juist expliciet wel extra gegevens voor vragen als dat nodig is.

    Overweging 57 en ook Artikel 11 lijken juist over situaties te gaan waarin de verwerker zelf geen personen kan identificeren aan de hand van de verwerkte gegevens. In dat geval zegt de AVG dat de verwerker ook niet verplicht is om aanvullende gegevens te verzamelen om specifiek aan de AVG-rechten over inzage, verwijdering, en dergelijke te kunnen voldoen. De verwerker mag dan in principe gewoon zeggen: “Sorry, wij kunnen niet nagaan of data die wij verwerken aan u toebehoort, dus kunnen wij uw verzoek niet behandelen.”

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.